記事更新日: 2023/10/30
近年、サイバー攻撃の1つである「ゼロデイ攻撃」の被害報告が増加しています。
サイバー攻撃やハッカーはドラマの中だけの出来事だと思っている方もいるかもしれません。
しかし、実際は私たちがよく使うWebサービスも被害を受けたりと、身近なところで起きています。
本記事では、サイバーセキュリティの基礎知識がない方でも理解できるよう、基礎的な内容も含め、ゼロデイ攻撃の仕組み、被害事例、対策方法をわかりやすく解説しております。
このページの目次
ゼロデイ攻撃とは、システムが抱える脆弱性に対して、開発者がまだ対策を施していない段階で攻撃することを指します。
2022年以降、IPA(独立行政法人 情報処理推進機構)により情報セキュリティにおける10大脅威として認定された、近年注目されているサイバー攻撃の1つです。
しかし、サイバー攻撃と言われても、馴染みのない方が多いと思います。
まずは、攻撃者とは?脆弱性とは?という基礎情報を整理しながら、ゼロデイ攻撃について解説をします。
サイバーセキュリティの話題で必ず耳にする、攻撃者、脆弱性、マルウェアとはそもそも何を指しているのでしょうか。
それぞれの言葉を解説します。
攻撃者とは、システムやソフトウェアなどを攻撃する人たちを指します。
常日頃から公開されているシステムやソフトウェアをチェックし、攻撃方法や攻撃先を探索しています。
彼らがサイバー攻撃を行う主な目的は「金銭」「機密情報」の2つがあります。
脆弱性とは、システムやソフトウェアのセキュリティ上の弱点のことです。
開発者はシステムやソフトウェアの開発前にセキュリティ上の問題がないかの検査を必ず実施します。
しかし、残念ながら、どんなシステムやソフトウェアにも完璧なものは存在せず、必ず何らかのバグ(システム・ソフトウェア上の欠陥)は存在します。
そのバグの中でも、ある特定の攻撃に対してのみ作用するものを脆弱性と呼びます。
通常の状態だとバグにはならないため、システム開発やテスト段階ではなかなか発見されずらい、という特徴があります。
本記事のテーマであるゼロデイ攻撃は、未対策の脆弱性を突いた攻撃のことを指します。
マルウェアは悪意あるソフトウェアを指し、ウィルスのような「使用者の意図しない動作を行い、損害を与えるソフトウェア」の総称です。
近年は、ランサムウェアがサイバー攻撃方法としてよくみられます。
セロデイ攻撃とは、冒頭に記述した通り、未対策の脆弱性を突いた攻撃です。
脆弱性の発見からサイバー攻撃者が攻撃を行うまでの間隔が短いため、ゼロデイ(0day)に因んで名付けられました。
システムの公開時には、システムは何らかの脆弱性を抱えています。
その脆弱性を開発者、攻撃者のどちらが先に発見できるか、開発者は脆弱性発見後にどれだけ早く対策を立てることができるか、がとても重要になります。
また、対策実行した後も、新しい別の脆弱性が発見される可能性もあるため、開発者は常に攻撃を警戒しながら、システムの脆弱性対応をし続ける必要があります。
近年、サイバーセキュリティの技術が向上したことから、私たちはさまざまなサイバー攻撃から自分のパソコンや社内システムを守ることができています。
そんな中、ゼロデイ攻撃の被害が増加しているのはなぜでしょうか?
それは攻撃者が強固なセキュリティを突破するために、未知の脆弱性を悪用したゼロデイ攻撃の開発に注力している、ということが挙げられます。
被害件数が増えた結果、2022年よりIPA(独立行政法人 情報処理推進機構)により情報セキュリティにおける10大脅威として認定されています。
2023年には7位から6位とその順位を上げる結果となりました。
以下の2点が、IPAがゼロデイ攻撃を10大脅威として認定する主な理由です。
次にゼロデイ攻撃の仕組みと具体的な手法、狙われやすいプログラムに関して解説をします。
ゼロデイ攻撃は、まず攻撃者が脆弱性を発見することから始まります。
その脆弱性を悪用した不正なプログラムを開発し、拡散するといった仕組みをとります。
未知の脆弱性への攻撃であるため、開発側ではなかなか気づけない、また気づいた後も対策を検討・実行をしている間はシステムは無防備な状態であるため、攻撃を受けると被害が拡大する恐れがあります。
ゼロデイ攻撃には、「バラマキ型」「標的型」の2種類があり、攻撃者は目的によって攻撃の種類を変えます。
バラマキ型は、不特定多数のユーザーに攻撃を仕掛ける方法です。
攻撃者は個人、もしくは犯罪グループである傾向があり、金銭や個人情報の窃取が目的として挙げられます。
一方、標的型は特定の企業や組織をターゲットに仕掛ける攻撃です。
攻撃者は一部の国家や企業が想定され、国家や組織に関する機密情報が目的です。
攻撃の具体的な手法としては、以下の2種類が挙げられます。
仕事や特定のサービスに関係することを装ったメールにマルウェアを仕込み、開封したパソコンなどのデバイスを感染させる手口です。
攻撃者はネットやソフトウェア、デバイスにある脆弱性を常に探しています。
脆弱性を特定をした後は、マルウェアに感染させ、個人情報などを抜き取ります。
前章で挙げたように、近年、サイバーセキュリティのレベルは向上しており、通常の攻撃はセキュリティソフトで防ぐことができます。
しかし、ゼロデイ攻撃の場合、既知のマルウェアとは異なるため、ウィルス対策ソフトだけでは対策しにくいという問題があります。
では、実際どのようなプログラムが狙われやすいのでしょうか?
Microsoft社の「Windows」やApple社の「MacOS」などがOSとしてよく知られています。
攻撃者は、バックドア(※)を作って、パソコンを乗っ取り、機密情報を抜き取ったり、マルウェアをばらまいたりします。
OSは広範なソフトウェアであり、世界中で幅広く使用されているため、ゼロデイ攻撃が成功した場合は、その影響は大規模になることが考えられます。
※ PCやサーバー、システム・アプリケーションなどに不正侵入するための入口
Google ChromeなどのWebブラウザーは過去に何度もゼロデイ攻撃の標的にされてきました。
Webブラウザー上で不正なプログラムを動作させたり、不正プログラムのインストールを促されます。
また近年は、標的型メールと組み合わせて、特定のURLへのアクセスを誘導させる手法がよく見られます。
PDFやExcel、Wordなどのドキュメントアプリケーションの脆弱性を突いた攻撃です。
ドキュメントにマルウェアを埋め込み、ユーザーがそのドキュメントを開くと、攻撃コードが実行され、デバイスやシステムが侵害される手口です。
電子メール送受信などが可能なサーバーソフトウェアに対する攻撃です。
バックドアを仕掛け、データを盗む、また通信内容をスキャンするなどの手法があります。
ソフトウェアのセキュリティ上の脆弱性を利用した攻撃方法で、ユーザーが正規のソフトをインストールした際に、攻撃コードも一緒にインストールされる手口です。
近年、リモートワークをきっかけに、VPN機器を導入する企業が増えました。
攻撃者はVPNの脆弱性から、VPN機器に侵入し、アクセス権を昇格させ、機密情報などの抽出を行います。
過去にどのような被害が発生しているのでしょうか?
国内外の事例を見てみましょう。
GoogleChromeのセキュリティの脆弱性を突く攻撃を受けたことをGoogleは公表しています。
その脆弱性はメモリ管理に関するエラーが原因であり、メモリアクセス操作を誤ると、攻撃者が不正なコードに書き換えてしまうというものでした。
ウィルス対策システムの脆弱性に着目してゼロデイ攻撃が仕掛けられ、社内パソコンがマルウェア感染した事例です。
被害内容としては、8,000人分の個人情報流出の可能性がある事態となり、大きな被害に繋がりました。
Google の脅威分析グループ(TAG)は北朝鮮のサイバー犯罪グループが 10 月に Internet Explorer のゼロデイ脆弱性を悪用して攻撃していたことを公表しました。
韓国の梨泰院雑踏事故について書かれた Office 文書がオンライン上にアップロードされており、ファイルを開くと任意のコードを実行される恐れがありました。
ゼロデイ攻撃の手法や被害事例を紹介してきましたが、可能であれば、事前に対策を打っておきたいと考える人は多いのではないでしょうか。
私たちがとれる対策やセロデイ攻撃を受けた際に取るべき対応をまとめます。
具体的な対応策としては、以下の4つが挙げられます。
マルウェア対策を徹底することが重要であるため、システムのアップデートのほか、ファイアウォールの常時有効化、IDS/IPD(不正侵入検知・防御)機能の導入が必要です。
まずは未対応のものがないか確認してみましょう。
ユーザーが普段利用する領域から隔離された空間をサンドボックス環境といいます。
外部から送られたプログラムやファイルをサンドボックス内で確認すれば、マルウェア関連被害を事前に防ぐことができます。
不審な添付ファイルを開かない、攻撃を受けた際には速やかにネットワークから切断するなど、個人が気を付けないといけない点はサイバーセキュリティにおいては数多くあります。
組織におけるサイバーセキュリティに対する知識レベルを上げることで、被害を発生させない、また万が一、攻撃を受けたとしても適切な対応ができるよう社内教育を常日頃からしておくことは重要です。
こちらは事後対応になりますが、被害を最小限に抑えるのに有効的な手段です。
エンドポイント(パソコンなどネットワーク端末となるデバイス)での動作を監視して、異常を検知することができます。
万が一、ゼロデイ攻撃を受けた場合はどのように対処すれば良いでしょうか?
被害を最小限に抑えるためには、以下の対応を速やかに行いましょう。
他デバイスと繋がっているネットワークを切断することで、マルウェアの拡散を防ぐことができます。
上司やセキュリティ管理部署の他、社内の上層部にも速やかに報告。
会社のトップが警察に被害届を出した上で、顧客・取引先への報告要否も社内にて検討しましょう。
セキュリティ専門会社に技術的な支援を依頼し、再発防止に取り組みましょう。
現在、被害報告が増えているゼロデイ攻撃についてまとめてきました。
インターネットやパソコンなどのデバイスは、ビジネスにおいても、プライベートにおいても欠かせないツールです。
安全に活用するためにも、個人でできること、組織として取り組まないといけないことを精査し、専門家の協力を得ながら、セキュリティ対策をとっていきましょう。
画像出典元:Unsplush
