脆弱性を突くサイバー攻撃の中でもとくに警戒が必要で、同時に対応が難しいのがゼロデイ攻撃です。企業はゼロデイ攻撃に対してどのような考えで臨むべきなのでしょうか。ゼロデイ攻撃の特徴と対策について紹介します。

ゼロデイ攻撃とは

ゼロデイ攻撃とは、OSやアプリケーションの脆弱性が発見されてから、その情報が公開されたり対策が講じられたりする前に、その脆弱性を狙って行われる攻撃のことを指します。PC用のOSやアプリケーションだけではなく、iOSやAndroidなどのモバイルOSやアプリ、さらにWebアプリ、ファームウェア、ハードウェアの組み込みシステムなども対象となります。

ゼロデイとは脆弱性が存在しているのに、対策を施した修正プログラム(修正パッチ)が提供されていない状態を表しています。

ゼロデイ攻撃の特徴

ゼロデイ攻撃で問題となるのは脆弱性の存在です。脆弱性とは設計上のミスやプログラムの不具合などによって生じるソフトウェアの弱点や欠陥を意味する用語です。セキュリティホールもほぼ同じ意味で使われ、サイバー攻撃などで狙われやすいセキュリティ上の弱点・欠陥を防御の穴というイメージでこう呼ばれます。

脆弱性は開発者が想定しなかったような操作をされてプログラムが予期していなかった挙動をする、あるいはプログラムにバグがあり特定の攻撃を受けたときに誤作動するといった形で明らかになります。原因はあらゆる想定をしていなかったことや、コードの記述ミス・記述漏れといったヒューマンエラーが主ですが、これらは万全を期していてもときに起こってしまう防ぎようのないことでもあります。

さらに、その脆弱性の存在に最初に気づくのが開発者やベンダーであるとは限りません。ユーザーなどの第三者が何かのきっかけで見つけるのであればまだいいのですが、先に発見したのが悪意のある者だった場合は非常に厄介です。攻撃されて初めてベンダーが脆弱性に気づくということも珍しくありません。

そうした脆弱性の存在はダークウェブなどを通じて多くのサイバーに情報として共有され、ベンダーが気づいて修正プログラムが配布されるまでのタイムラグを利用して多くの攻撃が行われることもあります。

ゼロデイ攻撃は、サイバー犯罪者にとってはとても都合がよく、ベンダーやユーザーにとってはとても対策の難しい憂慮すべき攻撃だといえます。

ゼロデイ攻撃による企業の被害事例

ゼロデイ攻撃の事例として有名なのは、2014年9月に公表されたシェルショックと呼ばれる脆弱性です。サーバーの管理運営用としてLinuxなどで使われることが多いBashというシェル(ユーザーとOSとの仲介を行うソフトウェア)に、致命的な脆弱性が潜んでいました。簡単にいえば遠隔からコマンドの実行を許してしまう脆弱性で、簡単に悪用することができるものでした。企業でも導入しているところが多く、2015年の上半期まで多くのWebサーバーが攻撃を受けました。日本でも遠隔操作を受ける被害などが相次ぎ、警察が監視して報告書を公開するなどの対応を行っています。

もう1つ、特定の企業が被害を受けた事例を挙げてみます。2019年に、日本の電機メーカーの中国拠点にあるサーバーが不正アクセスを受けました。従業員や退職者を含む8,000名以上の個人情報、さらに機密情報や取引データが流出した可能性が高いと発表され、機密情報の中には国家情報に関するものも含まれている可能性があることで多くの関心を集めました。

原因はウイルス対策システムの脆弱性を突いたゼロデイ攻撃でした。インターネット上に仮想の専用線を引いて情報のやりとりをするVPNが使われていたにもかかわらず、VPNがハッキングされた可能性が高いと見られています。高度な技術を持つハッカー集団が脆弱性を見つけて攻撃を仕掛け、巧妙に情報を盗み出した事件として知られています。

ゼロデイ攻撃への効果的な対策とは

では、ゼロデイ攻撃を防ぐにはどのような対策が考えられるのでしょうか。主なものを紹介します。

サンドボックス

サンドボックスは、コンピュータ内に作った「不正なプログラムを実行しても他のプログラムに影響が起きないよう隔離された擬似的な環境」です。受信したメールの添付ファイルについて、サンドボックスを使って解析するといった利用法が代表的です。疑わしいファイルなどの検証を行うことができます。

多層防御

多層防御は、入口対策、内部対策、出口対策などの複数のセキュリティ対策によって、攻撃から情報を守るという考え方の防御策です。仮に最初の入口対策を突破されてネットワークに侵入されたとしても、続く内部対策や出口対策により被害が出る前に情報漏えいを防ぐ、あるいは被害を最小限に食い止めるといった思想で対策を講じます。具体的には重要データの暗号化やデータを外部に送信する動きを検知してブロックする方法などが用いられます。

データのバックアップ

データのバックアップは基本的対策ですが、情報を守るためにはきわめて有効な対策でもあります。ゼロデイ攻撃によるランサムウェア(パソコンなどに保存されたデータファイルを暗号化し、暗号を解除するのに身代金を要求するマルウェア)による攻撃にも、バックアップデータがあれば屈することなく対応できるでしょう。現在ではクラウドに常時バックアップする方法などが整備されています。

ゼロデイ攻撃に対してはその特徴を知り、正しく対策することが必要です。また、攻撃を少しでも早く確実に回避するには、常にソフトウェアを最新の状態にしておくことが重要だといえるでしょう。

ゼロデイ攻撃に備えるためにより強固で管理が容易なセキュリティ対策を求めるなら、以下のソリューションがお役に立ちます。

Application Controlは動的なホワイトリスティングおよび権限管理を組み合わせて不正なコード実行を防止し、ランサムウェア等による攻撃を即時保護します。

Patch for Endpoint Managerは修正プログラムを包括的に管理し、各種ソフトウェアを常時最新状態に保ち続けます。

Security Controlデータセンター内の物理サーバーと仮想サーバーのパッチ管理を簡素化・自動化し、権限管理、ホワイトリスティング機能も網羅しています。