セキュリティ対策ソフトや有名メーカーの機器を導入しているからといって、セキュリティ対策が万全とは言えません。
脆弱性の発見から対策までには一定のタイムラグが存在しており、そのタイムラグの間に存在している脆弱性のことをゼロデイ脆弱性と言います。
プログラムや機器の脆弱性は毎日のように発見されており、攻撃者はその脆弱性を悪用して修正される前にサイバー攻撃を仕掛けてくるのです。
この記事ではゼロデイ脆弱性の概要と危険性、そして対策方法まで詳しく解説します。
また、ゼロデイ攻撃を始めとした複雑多様なサイバー攻撃について、企業の皆様が適切に知り、適切な対策をとっていただけるよう、LRMでは、代表的なサイバー攻撃10個の概要から対策、事例に至るまでを徹底解説した資料を無料で配布しています。
こちらからダウンロードできますので、ぜひご活用ください。
ゼロデイ脆弱性とは
ゼロデイ脆弱性とは、プログラムに脆弱性が存在しつつも、それを修正するためのプログラムが提供されていない脆弱性のことを指す言葉です。
脆弱性とはOSやソフトウェアなどのプログラムの不具合や設計上のミスによるセキュリティ上の不具合のことです。
このようなゼロデイ脆弱性を悪用する攻撃のことをゼロデイ攻撃と呼び、これは修正プログラムの公開日をワンデイ(One Day)とした場合の前日のことを表しています。
ゼロデイ脆弱性はなぜ危険なのか
ゼロデイ脆弱性が危険な理由として以下の2つがあります。
危険な理由1:攻撃の検知が難しい
ゼロデイ脆弱性の中には、セキュリティベンダーの専門家によって既知のものもありますが、基本的には修正プログラムが提供されていない段階の脆弱性であるため、エンドユーザーが攻撃を検知するのは困難です。
危険な理由2:攻撃の防御が難しい
また修正プログラムが配布されていないため、攻撃を仕掛けられたときの防御も同様に困難です。
ゼロデイ脆弱性の多くは、エンドユーザーのコンピュータにおいて修正されていないため、その脆弱性を悪用したマルウェアは検知されることなく感染してしまいます。
ゼロデイ脆弱性の例
実際に発生したゼロデイ脆弱性の事例として以下の3つをご紹介します。
VPN機器に対する不正アクセス
ゼロデイ脆弱性を悪用した攻撃として、VPN機器に対する不正アクセスが発生する事例がありました。
2021年にアメリカのセキュリティ機器メーカーのソニックウォールのVPNに脆弱性が存在するとして、JPCERTコーディネーションセンターが注意喚起を発表しました。
ソニックウォールは、攻撃者がこのVPNに存在する脆弱性をゼロデイ脆弱性として悪用することでサイバー攻撃を仕掛けていることも発表しゼロデイ脆弱性が存在することを認めました。
企業内システムへの不正アクセス
2019年に、三菱電機株式会社に対して不正アクセスが発生し、個人情報や機密情報が外部に漏洩した事件も、ゼロデイ脆弱性をついたサイバー攻撃だったことが明らかになっています。
この事件では、三菱電機株式会社の中国の拠点にあるネットワーク内のウイルス対策ソフトの管理サーバーがゼロデイ攻撃を受けて、マルウェアの定義ファイルを配信する機能を悪用する形でマルウェアが社内の各パソコンに配信されてしまいました。
三菱電機株式会社は、このサイバー攻撃の発生から公表までの間で、攻撃者は不正アクセスの監視や検出をすり抜け、ファイルを送信するときのログを削除するなど高度な手法を採用しており、そのことがこのインシデントの調査が遅れた理由であるとしています。
改ざんされたWebサイトからのマルウェアへの感染
Google ChromeなどのWebブラウザにゼロデイ脆弱性が存在する場合、不正なWebサイトにアクセスすることでマルウェアに感染する可能性があります。
このようなサイバー攻撃は「水飲み場型攻撃」とも呼ばれます。
ターゲットがよく訪問するWebサイトを水飲み場に例えて、そこで攻撃者が待ち伏せているような状況から付けられた攻撃名です。特にWebブラウザの脆弱性はサイバー攻撃に悪用されることが多く、Google ChromeやFirefoxなどの主なWebブラウザは頻繁にセキュリティアップデートを行っております。
ゼロデイ脆弱性への対策方法とは
ゼロデイ脆弱性をついたサイバー攻撃は非常に悪質ですが、以下で紹介するような対策を講じることで、被害を最小限に食い止めることができます。
サポートの切れた製品を使わない
アプリケーションやネットワーク機器などで、サポートの切れた製品を使わないようにしましょう。
サポートの切れた製品に脆弱性が発覚しても、修正プログラムが提供されない場合があります。
そのため、脆弱性はいつまでたっても解消されず、攻撃者がその脆弱性を悪用し放題となります。
たとえば古いOSやアプリケーションなどのソフトウェアや、ルーターなどのネットワーク機器を使用する場合は、メーカーのWebサイトなどからサポート期限を確認しておき、もし期限が近い製品を使用している場合は、新しいバージョンにアップデートしたり、新製品に買い替えたりする方が良いでしょう。
EDR(Endpoint Detection and Response)製品の導入
EDRとは、パソコンなどのエンドポイントにおいて、マルウェアなどの振る舞いを検知して対応するアプリケーションソフトウェアです。
通常のセキュリティ対策ソフトでは、既知のマルウェアのデータベースを内在しておき、スキャン対象のファイルと照合した際にマッチしたものをマルウェアとして検出する、という機能を持つタイプが一般的です。
しかしゼロデイ脆弱性は未知の脆弱性であるため、それを利用したマルウェアは、従来のパターンマッチング方式のセキュリティ対策ソフトでは検出が困難です。
そのためEDRのように、マルウェアらしい「振る舞い」に重点を置き、その振る舞いを元にして悪意があるかないかを判断する手法が有効となるわけです。
しかしEDRのような振る舞いをベースにした場合、悪意のないファイルをマルウェアであると誤検知する可能性もあります。
そのため、誤検知した場合は、そのファイルは誤検知であると設定する運用もセットで行わなければなりません。
サンドボックスの導入
サンドボックスとは、コンピュータ内に設けられた安全な仮想空間のことです。
ゼロデイ脆弱性をついたマルウェアの場合、それが本当に悪意のあるファイルであるのかどうかを判断するために、実際に実行させてどのように動作するのか確認したいことがあります。
しかしパソコン上で実行してしまうと、それがマルウェアだった場合、パソコンに感染してしまいます。
そこでサンドボックスと呼ばれる安全な領域を設けて、その中で検査対象のファイルを実行することで、安全にそのファイルの動作を確認できるわけです。
WAFの導入
WAFとは、Web Application Firewallの略語であり、Webアプリケーションに特化したFirewallのことです。
WAFを導入することで、多様化しているサイバー攻撃を自動で検知することができるため、ゼロデイ脆弱性を悪用したサイバー攻撃にも一定の効果があります。
またクラウド型のWAFの場合、脆弱性が発見されてからその対応へのスピードも速いため、ゼロデイ脆弱性に対してより高い効果を発揮します。
LRMでも、クラウド型WAFのサーバーセキュリティサービス「攻撃遮断くん」をご提供しています。
- ネットワーク構成の変更やサーバ停止の必要なし
- ご担当者様での保守・運用作業は一切必要なし
- シグネチャは自動で最新にアップデート(高速更新機能)
といった強みを持ち、国内導入実績No.1を誇ります。
30日間無料でご利用いただけるトライアルもご用意しておりますので、お気軽にお試しください。
ゼロデイ脆弱性を狙った攻撃がもたらす被害
ゼロデイ脆弱性を狙った攻撃により、パソコンがマルウェアに感染したり、個人情報や機密情報などが漏洩したりするリスクが高まります。
このような事態が発生すると、顧客や取引先への金銭的な賠償だけでなく、企業としての社会的信用も損なわれてしまうでしょう。
また、未知のマルウェアやランサムウェアへの感染により、社内システムの停止や身代金が請求されるおそれもあります。
またゼロデイ攻撃の被害にあったパソコンが別のパソコンへの攻撃の中継地点として悪用されることで、被害者でありながら攻撃者になってしまうこともあるのです。
まとめ
ゼロデイ脆弱性は、発見から修正までのタイムラグに存在する脆弱性であるため、対策が不十分なまま攻撃を受けてしまうという点で非常に防御が難しいものです。
セキュリティ対策ソフトの導入やセキュリティパッチの適用など従来のセキュリティ対策では不十分です。
最低限、自社で使用しているアプリケーションや機器の脆弱性情報を小まめに収集するなどの対策は欠かせないでしょう。
また、ゼロデイ攻撃や他のサイバー攻撃についてもっと詳しく知りたい、事例や対策をおさえておきたいという方はぜひこちらの資料をご覧ください。
