予測不可能な”ゼロデイ攻撃”。攻撃者はわずかな隙を狙って悪質な攻撃をしかけてきます。
企業としてできる対策は、OSのアップデートやセキュリティソフトを導入することです。
今回はゼロデイ攻撃の基本、実例、対策と、おすすめのセキュリティシステムをご紹介します。
記事内にある難しいIT用語には下線を入れ、下部に説明を入れて分かりやすく解説しています。
ITに詳しくない方や、分かりやすい記事を探している方はぜひ参考にしてみてください。
目次
ゼロデイ攻撃とはプログラムの脆弱性を悪用して攻撃すること
ゼロデイ攻撃とは、プログラムに見つかった脆弱性やセキュリティホールを悪用して攻撃することです。
いわゆる、サイバー攻撃の1種になります。
「ゼロデイ」の意味は「0日目」
前述したとおり、ベンダーは脆弱性が見つかると修正パッチを作成します。
完成した修正パッチをユーザーに提供する日を1日目と考えたとき、脆弱性やセキュリティホールがあるものの、修正パッチがない状態のことを0日目と考えます。
このことから「ゼロデイ」攻撃とよばれているのです。
一説によると、修正パッチを作成する間もないほど素早く攻撃されることも由来しているのだそう。
ゼロデイ攻撃の仕組みと特徴
ゼロデイ攻撃は、プログラムに修正パッチが当たる前に、セキュリティホールを狙って攻撃する仕組みです。
通常の場合、ベンダーはプログラムに脆弱性を見つけると、脆弱性やセキュリティホールを補うための修正パッチを作成します。
プログラムに修正パッチが作成されれば攻撃を防げますが、脆弱性が発見されてから修正パッチが作成されるまでの間は、プログラムに隙があります。
この隙を狙ってセキュリティホールを攻撃するのが、ゼロデイ攻撃です。
プログラムの脆弱性は、利用者が発見し、ベンダーなどに報告された後に対策が行われます。
つまり、利用者やベンダーが気付く前が、もっともゼロデイ攻撃のリスクが高いタイミングです。
また、修正パッチが作成されるまでには、一定の時間が必要です。
利用者やベンダーがプログラムの脆弱性を発見した後でも、修正パッチの作成が完了していなければ、ゼロデイ攻撃のリスクが高いと言えるでしょう。
・脆弱性:プログラムに不具合があったり、設計ミスがあったりすると発生する欠陥のこと。ハードウエアやソフトウエア全体の弱さ、外部からの攻撃に対する弱さを表す。
・セキュリティホール:プログラムの不具合や設計ミスによるバグのこと。脆弱性よりも具体的なセキュリティ面の弱さを表すときに使う。
・修正パッチ:プログラムの欠落を直すためのもの。
セキュリティソフトでも完全に防ぐことは難しい
ゼロデイ攻撃は、セキュリティソフトを導入していても、完全に防ぐことは難しいです。
一般的なセキュリティソフトは、過去のマルウェアの情報をベースに、悪意のある攻撃を防ぎます。
一方、ゼロデイ攻撃は未知のセキュリティホールを狙って攻撃する仕組みです。
つまり、過去の情報に頼る手法だけでは、攻撃を防げない恐れがあります。
企業がゼロデイ攻撃を受けると社会的に信頼を失う可能性がある
ゼロデイ攻撃を受けマルウェアに感染すると、個人情報が漏えいしたり不正アクセスされたりする可能性があります。
2020年に総務省が発表した資料(※1)によると、2019年における不正アクセスの認知件数は2,960件でした。
2018年の1,486件に比べると、およそ99.2%増加していることが分かります。
さらに、過去5年間のうち不正アクセスを最も多く受けたのは「一般企業」であることも分かりました。
ここでいう認知件数とは、不正アクセスの被害届を受理した場合などです。
近年のマルウェアは攻撃が目立たないものが多く、発覚が遅れる場合も多くあるといいます。
言い換えれば、気づかないうちにゼロデイ攻撃を受け、マルウェアに感染している可能性もあるということです。
不正アクセス後の行為としては、「インターネットバンキングでの不正送金等」が61.1%、続いて「インターネットショッピングでの不正購入」が12.7%と金銭に関わることに悪用されていると分かりました。
企業がゼロデイ攻撃などのサイバー攻撃を受けると、顧客の個人情報が漏えいする可能性や、不正アクセスから金銭的な損失を被ることも考えられます。社会的な信頼を失うことにもつながるため、より厳重にセキュリティ対策をすることが重要です。
・マルウェア:悪意のあるソフトウエアやコードのこと。ウイルスやトロイの木馬、スパイウェアなど。ユーザーの意図に関わらず不正な動作をする。
・サイバー攻撃:サーバーやパソコン、スマホなどのネットワークを通して、システムを破壊したり、データを抜き取ったり、改ざんしたりすること。
※1 引用:総務省 「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」公開日:2020年3月5日 入手日:2022年1月13日
ゼロデイ攻撃の事例4選
ここからはゼロデイ攻撃の事例を4つご紹介します。
一度は耳にしたことがあるような大企業でもゼロデイ攻撃を受けています。
ゼロデイ攻撃がいかに巧妙で悪質なものか、以下の事例を参考にしてください。
Shellshock(シェルショック)
Shellshock(シェルショック)とは、Bashの脆弱性を悪用したゼロデイ攻撃のことです。
Bashは、Linux OS、UNIX OS、macOS Xや、WindowsやAndroidなどでも使われているシェルの一つです。
この脆弱性を悪用すると、攻撃側はサーバーなどをリモートで操作することができました。
すなわち相手のパソコンを乗っ取れるということです。
当時は、Bashの脆弱性を利用したボットネットも存在していました。
これはインターネット上にあるBashの脆弱性を探し出し、感染を広げるというものです。
攻撃対象には米国防総省のIPアドレスも含まれていたのだとか。
2014年のニュースでは、被害数は数百万台に及ぶともいわれていたほどです。(※2)ゼロデイ攻撃の中でも最もメジャーな事件として知られています。
・Bash:いくつかあるシェルの種類のうちの一つ。
・シェル:人間の入力などをコンピューターに伝えるもの。
・ボットネット:攻撃者の司令などを受け入れるように感染させた複数のコンピューターのこと。感染に気づきづらいことから「ゾンビPC」ともいわれる。
※2 引用:AFPBB News 「LinuxやMacOSに致命的脆弱性、数百万台に影響の恐れ」 入手日:2022年1月12日
Adobe Flash Player
Adobe Flash Playerはこれまでさまざまなゼロデイ攻撃を受けています。
2015年にはウェブを閲覧することで任意のプログラムを実行される可能性のある脆弱性が見つかりました。
この脆弱性が悪用されると、アプリケーションが不正終了したり、パソコンが乗っ取られたりする可能性があります。
修正パッチが提供されるまでの間、ユーザーはFlashを無効にしたり、ソフトをアンインストールするなどでしか対策できないこともあったようです。すなわち修正パッチ配布までは動画やゲームなどが再生できないということです。
さらに修正パッチを適用してもなお悪用できる脆弱性が残っていたともいわれています。
Google Chrome
2019年、Google Chromeがゼロデイ攻撃を受けました。
原因はChromeにあるFileReaderのメモリ管理エラーで、影響があるのはデスクトップ向けのChromeです。
この脆弱性が悪用されると、パソコンが制御される可能性がある危険度の高いものでした。
・FileReader:ウェブ開発者が使うプログラミングツールのこと。
SCADA(産業用制御システム)
2014年、SCADA(産業用制御システム)がWindows OSの脆弱性を悪用したゼロデイ攻撃を受けました。
攻撃者はロシア政府と関連のあるハッカー集団「Sandworm Team(サンドワーム チーム)」。
当時のロシアと対立していたウクライナとポーランドがターゲットにされました。
企業にできるゼロデイ攻撃の対策方法
企業がゼロデイ攻撃を受けると、顧客の情報漏えいや不正アクセスから社会的信頼を落としかねません。
またマルウェアに感染したことに気づかないでいると、ウイルスなどの被害を広めてしまい、知らないうちに加害者になってしまうことも考えられます。
企業にできるゼロデイ攻撃の対策方法は、以下の4つです。
- 定期的にアップデートを行う
- URLやファイルを開くときは注意する
- サンドボックスを使う
- EDRを導入する
ゼロデイ攻撃に使われるマルウェアを含め、日々新たな脅威が生まれています。企業の責任として強固なセキュリティ対策をしておくことが大切です。以下では企業がゼロデイ攻撃を防ぐ4つの方法をご紹介します。
定期的にアップデートを行う
ゼロデイ攻撃を防ぐには、定期的にアップデートを行うことが大切です。前述したSCADA(産業用制御システム)がターゲットにされた一因として、アップデートされていなかったこと、修正パッチが当てられていなかったことがあげられています。(※3)こうした対策をおろそかにすると、脆弱性やセキュリティホールを放置することになります。いわば、いつサイバー攻撃を受けてもおかしくない状態にあるともいえるでしょう。
また現場でサポートが終了したWindows OSを使っていたことも原因としてあげられています。OSのサポートが終了するということは、修正パッチなどの更新がなくなるということです。脆弱性も放置されるため、攻撃側からすればかっこうの的ともいえるでしょう。
過去にGoogleのエンジニアとして勤務していたJustin Schuh氏は、前述したChromeのゼロデイ攻撃を受けた際に、OSのアップデートをするよう呼びかけていました。ソフトウエアをアップデートすることは、セキュリティのメンテナンスにもなります。通知がきたら必ずアップデートするように習慣づけましょう。
※3 引用:SCADA MAGAZINE 「SCADAを狙ったサイバー攻撃「Sandworm」とは?」入手日:2022年1月12日
URLやファイルを開くときは注意する
メールに添付されているURLやファイルを安易に開かないことも、ゼロデイ攻撃対策の一つです。フィッシングメールは実在する企業を偽ってメールを送ってきます。本物と見分けがつきづらいため、なんの疑問も持たず添付されているURLやファイルを開いてしまうこともあるでしょう。誘導されたウェブサイトも本物に近く作成されているため、IDやパスワードを入力し、個人情報が漏えいしてしまう可能性も考えられます。
中にはウェブサイトを閲覧しただけで感染するマルウェアも存在します。感染に気づけないでいると、ウイルスなどをばらまく加害者となりかねません。日ごろからURLやファイルを安易に開かないことが大切です。
サンドボックスを使う
サンドボックスを使うことで、ゼロデイ攻撃の対策ができます。
サンドボックスは、仮想空間で怪しい動きをするプログラムを解析するものです。怪しい動きをするプログラムがマルウェアかどうか検証するために、通常のファイル内で実行してしまうと、最悪の場合パソコンが乗っ取られることも考えられます。サンドボックスのような仮想空間内でプログラムを実行すれば、パソコンやスマートフォンといったデバイスに影響を与えずに解析できるという仕組みになっています。サンドボックスの解析方法は以下の2種類です。
- 動的解析:プログラムがマルウェアのような動きをすればマルウェアだと判断する
- 静的解析:プログラムをスキャンし、マルウェアのような特徴があればマルウェアだと判断する
ただしマルウェアだと判断する際は、どちらも過去のマルウェアを参考にします。新たなマルウェアでゼロデイ攻撃されてしまうと対策しきれない可能性がある点は忘れないでおきましょう。
EDRを導入する
EDRを導入することでも、ゼロデイ攻撃の対策ができます。
EDR(Endpoint Detection and Response)とは、怪しい動きを検知し、素早い対処をサポートしてくれるものです。EDRの主な機能は以下の4つです。
- 端末の監視、記録、報告、管理
- 端末やネットワーク全体の不審な動きを検知、警告
- 不審な動きの停止
- 不審な動きで書き換えられた部分の修復
前述した事例からも分かるとおり、ゼロデイ攻撃を完全に防ぐことは難しいもの。ゼロデイ攻撃の対策を考えるときは、感染後の対応についても考えることが大切です。
ゼロデイ攻撃対策ソフト3選
ゼロデイ対策に効果的なセキュリティソフトは、以下の3つです。
上記3つのセキュリティソフトを比較すると、以下のようになります。
- 20年間の実績あり。強固なセキュリティを選ぶなら「AppGuard」
- 価格を抑えつつセキュリティ対策をしたいなら「BLUE Sphere」
- 自己学習型AIでより強力にセキュリティ対策をしたいなら「DarkTrace」
「App Guard」はアメリカで開発されて以来、一度も突破されたことのない特許技術を誇っています。侵入されたとしても発症させない仕組みで、ゼロデイ対策ともしものときの対策が一度にできるのも魅力でしょう。
「BLUE Sphere」は3つの機能で防御層を作り、ウェブサイトを守るのが特徴。価格は3か月のデータ量などで変動し、追加料金なしで月額45,000円〜というコスパの良さが魅力です。
「DarkTrace」は自己学習型AIを搭載した世界初の「自動遮断技術」がついたシステムが特徴。他2つと比べて高価な分、より強力なセキュリティシステムが望めるでしょう。
※下記に記載している情報は2022年1月13日時点のものです。
「AppGuard」
・攻撃対象にされやすいアプリを監視し、侵害行為を防止する
AppGuardはアメリカで開発されたセキュリティシステムです。開発されてから20年間もの間一度も突破されたことがない特許技術を誇っています。App Guardによると、マルウェアの80%が難読化されており、そのうち20%はAIを使った検出型エンジンでもすり抜けてしまうほど危険性が高まっているのだとか。(※4)AppGuardでは従来の検知型とは違った「OSプロテクト型」を採用。侵入されたとしても発症させない仕組みになっています。主な機能は以下の3つです。
- 「ゼロトラストスペース」機能
- 攻撃されやすいアプリを制御
- 保護ポリシーを自動的に継承
「ゼロトラストスペース」機能では、ハードディスクをユーザースペースとシステムスペースの二つに分け、それぞれにルールを決めることで不正なプログラムを制御します。例えば顧客からのメールにマルウェアが潜んでおり、ファイルを開いてしまったとしても、AppGuardが不審な動きを検知し実行を阻止してくれるのです。
また攻撃対象にされやすいアプリは監視されているため、OSを改ざんするような侵害行為を防止できます。定義されたものは自動で継承されます。わざわざ手動で設定する必要がなく管理に手間がかからないでしょう。料金は1ライセンス6,000円からです。
・ユーザースペース:ユーザーがファイルを作ったり操作したりする場所
・システムスペース:OSがファイルを作ったり操作したりする場所
※4 引用:YouTube App Guard紹介動画「もう、セキュリティで悩まない。」 入手日:2022年1月13日
「BLUE Sphere」
・クラウド型でサーバーダウンを防ぐ
・三井住友海上のサイバーセキュリティ保険が無料
複数のレビューサイトで高評価を獲得しているBLUE Sphere。ウェブサイトを守り抜くため、3つの機能をそろえています。
- WAF(ワフ)で壁を作って攻撃を防御
”Web Application Firewall”の略。Webサーバーの前に壁を作り、ゼロデイ攻撃のような脆弱性を狙った攻撃を防御。
- DDos(ディードス)攻撃を防ぐ
"Distributed Denial of Service attack"の略。複数の機械を使ってサーバーに負担をかける攻撃を防御。
- 改ざんを検知
ウェブサイトの内容が改ざんされていないか監視。
BLUE Sphereはクラウド型のセキュリティシステムです。ゼロデイ攻撃などがWebサーバー上に入る前にブロックできます。また万が一に備えて、三井住友海上の「サイバーセキュリティ保険」が無料で付いています。マルウェアに感染したことで顧客の個人情報が漏えいしてしまい、損害賠償を請求されたときなども安心でしょう。
価格は月額45,000円〜154,000円です。料金は3か月のデータ量の合計などで変わります。登録できるドメイン数に限りはなく、同一企業のドメインであれば無制限に使えるのも魅力です。
「DarkTrace」
DarkTraceのセキュリティシステムの特徴は、人間の免疫システムをもとに生まれた自己学習型のAIです。セキュリティシステムは以下の4つから選べます。
- Enterprise Immune System
- Industrial Immune System
- Antigena Network
- Antigena Email
「Enterprise Immune System」は企業向けのシステムです。AIは企業やデバイスを使うユーザーの生活パターンを自己学習していくため、ブラックリストや過去の攻撃に依存することなく不審な動きを検知できます。ゼロデイ攻撃のような脅威も、AIが24時間365日リアルタイムで検知します。「Industrial Immune System」はOT環境向けのセキュリティシステムです。産業用制御システムなどに使われます。OT、IT、IoT、オンプレミス、クラウドなど、AIが幅広く監視し、マルウェアやエラーを特定します。
「Antigena Network」は世界で初めて自動遮断技術を搭載したシステムです。DarkTraceのサイトによれば、このシステムがサイバー脅威を阻止するのにかかる時間は平均2秒。(※5)AIが襲いかかる脅威をリアルタイムで検知し、防御します。「Antigena Email」は悪質なメールを阻止するシステムです。組織の生活パターンを学習するAIがメールのリンク、書類、ドメインなどを分析し、異常を検知します。
無料トライアル期間は1か月です。インストールにかかる時間はおよそ1時間。「Antigena Email」は5分でインストールできます。料金は販売元やライセンスにより大きく異なりますが、一千万円〜四千万円ほどが相場だといわれています。
※5 引用:DarkTrace 「Antigena Network」入手日:2022年1月13日
ゼロデイ攻撃にはセキュリティ対策が必須
企業がゼロデイ攻撃を防ぐには、基本的なセキュリティ対策を怠らないことが大切です。
ゼロデイ攻撃はどれだけセキュリティを強固にしても、わずかな隙を狙ってやってきます。
ゼロデイ攻撃で企業の信頼を損ねたり、加害者になったりしないためには、既存知識に頼りすぎないことが大切です。
日々新たなマルウェアが誕生し、ゼロデイ攻撃の手法も高度になっています。企業として基本的なセキュリティ対策を怠らず、ゼロデイ攻撃を受けた後の対処も考えておくようにしましょう。
