ゼロデイ攻撃の内容と対策とは?修正プログラム提供前に脆弱性を攻撃!

この記事は約7分で読めます。

まだ修正が行われていない新しい脆弱性を悪用する攻撃のことを、ゼロデイ攻撃と言います。ゼロデイ攻撃は、脆弱性への対策が行われていない状態における攻撃であるため、対策が困難で重大な被害に発展しやすい、やっかいな攻撃です。

この記事では、ゼロデイ攻撃の概要や具体的な事例、そして対処法について詳しく解説します。

ゼロデイ攻撃とは

ゼロデイ攻撃とは、新たに発見された脆弱性に対して、問題の公表や修正プログラムが提供される前に突くサイバー攻撃のことです。対策を取られる日を1日目(ワンデイ)と考え、それより前に行われるので0日目=ゼロデイと呼ばれるとことが由来となっています。

通常、Webサイトやシステムに脆弱性が発見された場合は、速やかに修正されるのが常識となっています。しかし、ゼロデイ攻撃は、修正前や、対策方法が明確にない状態で仕掛けられるため、非常に危険度の高い攻撃と言えます。

ゼロデイ攻撃として、主に用いられている方法はマルウェアの感染です。メールにマルウェアが仕込まれた偽造ファイル添付や、Webサイトを改ざんして訪問者にマルウェアをダウンロードさせる方法などが知られています。

一般的にゼロデイ攻撃には、不特定多数ターゲットにした「ばらまき型と、特定の相手を狙った「標的型攻撃の2つに分類されます。特に標的型攻撃の場合は、明確な目的を持ち段階を踏んで攻撃が仕掛けられるため、脆弱性の対策が公表される頃には、すでにゼロデイ攻撃の被害者となってしまっていることもあります

ゼロデイ攻撃の事例

ゼロデイ攻撃の具体的な被害事例として、以下の3つを紹介します。

標的型攻撃メールから顧客情報を盗まれた事例

攻撃者が、マルウェアに感染したファイルを添付されてメールを、ターゲットとなる企業の複数の社員に対して送信する標的型攻撃の事例です。受信した社員のうち数名が添付ファイルを実行して、マルウェアに感染してしまいます。

このマルウェアは、感染したパソコンと攻撃者とのあいだで不正な通信を行い、感染したパソコンが遠隔操作されてしまう状態なってしまいました。
攻撃者はすぐに大規模な活動を行うのではなく、感染が知られないように数か月間程度は気づかれないような活動を行っていました。その間、社内のネットワークを使い、ほかの社員のパソコンに侵入するなどをして、社内で管理している顧客情報システムを狙います。

その後、攻撃者は認証サーバに不正アクセスして、顧客情報システムのIDとパスワードを窃取し、顧客情報システムに侵入して情報を取得し、社内のパソコンを遠隔操作して攻撃者のパソコンへと送信しました。

攻撃の踏み台にされた事例

攻撃者が、ある会社員のパソコンを乗っ取り、ほかの場所にあるパソコンにマルウェアを感染させて、ネットバンキングから不正送金を行った事例です。攻撃者は直接パソコンにマルウェアを感染させるのではなく、乗っ取ったパソコンから遠隔操作することで、身元の特定を困難にさせました

この事例でも、攻撃者はマルウェアを添付したメールを会社員に送信して感染させていました。
マルウェアに感染したパソコンを乗っ取り踏み台として悪用し、別のパソコンにある情報を盗み出していました。攻撃者はネットバンキングのIDと暗証番号を盗み、それらを悪用して攻撃者の口座へ100万円を不正に送金しました。

バックドアからランサムウェアを実行された事例

あらかじめパソコンに仕込まれていたバックドアからランサムウェアに感染した事例です。バックドアとは、パソコンの内部に作られた抜け道のことです。バックドア経由であれば、通常の方法ではアクセス制限されていても、攻撃者は不正な通信が可能となってしまいます。

通常、不特定多数を標的とするランサムウェアですが、この事例では攻撃者は標的企業をランサムウェアに感染した企業に狙い撃ちしていたことが明らかになっています。

なお、この事例ではバックドアが仕込まれた時期については判明していません

ゼロデイ攻撃の対処法

ゼロデイ攻撃は対策されていない脆弱性を突かれてしまう攻撃である以上、明確に防ぐ手段はありません。しかし、これから紹介するような方法を徹底することで、できる限りの対策は可能です。

怪しいメールは開かない

業務やプライベートでは、さまざまなメールを受信しますが、その中には怪しいものも含まれています。中には巧妙なものもありますが、比較的気づきやすい怪しいメールについては、気をつけていれば判別できます。

受信したメールは、安易に開かないようにすることと、メールをメーラーで自動的に開く設定にしないことが、悪意のあるメールから身を守る基本的な方法です。

セキュリティ対策ソフトの導入

プライベートでも業務でも、パソコンにセキュリティ対策ソフトを導入するのは基本です。さまざまな企業からセキュリティ対策ソフトがリリースされています。自社の環境やコスト、必要なライセンス数などを確認して、自社にふさわしいセキュリティ対策ソフトを導入しましょう。

セキュリティ対策ソフト運用の際には、できるだけゼロデイ攻撃の被害にあうリスクを減らすために、定義ファイルの更新は徹底するべきです。最低でも1日1回はチェックするのが望ましいでしょう。

社内で複数のセキュリティ対策ソフトを導入している場合は、管理用パソコンでセキュリティ対策ソフトのライセンスや更新を一元管理するためのアプリケーションが使える場合もあるため、積極的に活用しましょう。

またIPS(不正侵入防止システム)やIDS(不正侵入検知システム)を社内ネットワークに導入して、不正なパケットの監視や遮断を行うのもおすすめの方法です。
不正なファイルの通信を防ぐだけでなく、まんがいちのマルウェアの感染の際にも、社内から重要情報や機密情報の漏洩を防ぐ効果が期待できます。

セキュリティ対策の見直し

自社のセキュリティ対策環境を定期的に見直すことも必要です。
ネットワーク環境や導入しているクラウドサービスの使用方法の変更などに応じて、ファイアウォールのポリシー見直しなどは効果的です。その際には、自社のセキュリティポリシーがゼロデイ攻撃を意識したものになっているか、よく確認しましょう。

最近ではEDR(Endpoint Detection and Response)と呼ばれる、不正な挙動を監視する仕組みを導入している企業もあります。これはエンドポイントの監視を強化するための仕組みの一つであり、マルウェアの感染後に被害を拡大させないための対策として取り入れられています。

自社のセキュリティ対策を見直したら、社員に対するセキュリティ教育を確実に実施しましょう。セキュリティ対策の見直しにより、業務で使っているアプリケーションやクラウドサービスが発生した場合、そのことを社員に通知しなければ、混乱が発生することが予想されます。

また、新入社員が入社したときには、セキュリティ対策ソフトの適切な運用方法や、メール受信時に不審なファイルを実行しないなどの、基本的な教育も必要です。

ゼロデイ攻撃への備え

自社で使用しているアプリケーションやWebサービスで発見された、新しい脆弱性に対する修正が発表されたら、極力早めに適用しましょう。企業によっては、正式な修正プログラムをリリースする前に、被害の発生をできるだけ防ぐための対策方法が公開されることがあります。

例えば、「この設定は無効にしておきましょう」あるいは「この機能を有効にしておきましょう」などのアナウンスです。

企業からそのような情報が逐次公開されることがあるため、新たな脆弱性の発見時には、よくチェックしておきましょう。

重要データのバックアップ

業務で使用している重要データのバックアップも必要です。バックアップ先として、社内ストレージだけでなく、バックアップ媒体の遠隔保管も検討しましょう。

例えば、社内のパソコンがマルウェアに感染し、被害が拡大した場合、社内ストレージに保存されたバックアップも消失する可能性があるからです。

自社のみの対応で適切なバックアップ体制の構築が困難な場合は、データのバックアップを専門に行っているサービスの利用なども検討しましょう。

まとめ

ゼロデイ攻撃の概要や事例、対処法について紹介してきました。ゼロデイ攻撃の被害にあわないためには、脆弱性情報の早期のキャッチアップと、修正プログラムの公開時にできるだけそれを速く適用することが重要です。

特に業務で使用している、アプリケーションやシステムの脆弱性情報については、しっかりと確認することが求められます。

情報セキュリティ対策インシデント対策
タイトルとURLをコピーしました