お役立ち資料
Introduction
ゼロデイ攻撃とは、製品に潜む脆弱性が解消される前に行われる、サイバー攻撃のことです。OSやソフトウェアのアップデートを定期的に行っていても防げないケースがあり、より高度な対策が必要とされています。では、ゼロデイ攻撃を防ぐためには、どのような対策を講じればよいのでしょうか。
この記事ではゼロデイ攻撃について、その手口や被害を受けた場合の影響、対処法などを解説します。
目次
ゼロデイ攻撃とは?
ゼロデイ攻撃とは、OSやソフトウェアなどの製品に存在する脆弱性が解消される前に行われる、サイバー攻撃のことです。
ここでは、具体的にどういう攻撃なのか、近年ゼロデイ攻撃による被害が増えている背景についてご説明します。
脆弱性の発覚後、修正プログラムが配布されるまでの間に行われる攻撃
ゼロデイ攻撃とは、総務省の『国民のためのサイバーセキュリティサイト』によると、以下のように定義されています。
ゼロデイ攻撃
ゼロデイ攻撃とは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでの間に、その脆弱性を利用して行われる攻撃
「ゼロデイ」という名前の由来は、脆弱性が発覚した日や、修正プログラムが配布される日などから0日の状態であることからきています。つまり、攻撃を受けた脆弱性が、世の中に知られていないという状態です。
ゼロデイ攻撃の標的となるのは、OSやソフトウェア、Webブラウザなど、さまざまなものがあります。とくに新製品が発売されたときや、大型アップデートが発表されたときなどに脆弱性が発見されやすく、標的となるケースが多いようです。
ゼロデイ攻撃の被害が増えている背景
IPA(独立行政法人情報処理推進機構)による『情報セキュリティ10大脅威 2024』によると、ゼロデイ攻撃は前年から順位をあげて5位になっており、注目されていることがわかります。
ゼロデイ攻撃は、以下のような理由から対策がむずかしいため、危険視されています。
・メーカーによる修正パッチ公開前に脆弱性を攻撃されるため、アップデートを欠かさず行っていても、防げない可能性がある
・一般的なアンチウイルスソフトは既存の脅威にしか対応できず、ゼロデイ攻撃で利用される未知のマルウェアには、対処できないケースが多い
このような理由により、修正パッチ適用前に行われるゼロデイ攻撃は、対策が非常にむずかしいことがわかります。
ゼロデイ攻撃の2種類の手口
ゼロデイ攻撃には、特定の企業や組織などをターゲットとした「標的型攻撃」と、不特定多数を対象にした「ばらまき型攻撃」があります。ここでは、それぞれどのような手口が存在するのかをご説明します。
標的型攻撃
標的型攻撃とは、特定の組織や企業をターゲットとして行われる攻撃のことです。組織や企業に対する嫌がらせ、金銭の要求などを目的としています。
たとえば、特定の企業に業務に関係する内容を装ったメールを送信し、マルウェア感染させようとします。業務に関係するような件名や文面のメールだと勘違いして、添付ファイルを開いてしまう場合もあるでしょう。また、企業が利用しているOSやソフトウェアの修正前の脆弱性を悪用して、攻撃を行う手口もあります。
ばらまき型攻撃
ばらまき型攻撃とは、不特定多数のユーザーに対して攻撃を行う手口のことで、個人情報などを盗むことを目的としています。
たとえば、不特定多数にスパムメールを送りつけ、マルウェア感染などを狙う手口があります。また、Webサイトの脆弱性を利用して改ざんし、サイトを訪れたユーザーがマルウェア感染を引き起こすファイルをダウンロードする手口なども、ばらまき型です。
ゼロデイ攻撃の被害を受けるとどうなる?
ゼロデイ攻撃によって、具体的にどのような被害を受けるのか、被害を受けるとどうなるのかについてご説明します。
マルウェア感染
ランサムウェアやスパイウェアなどが含まれるマルウェアが、勝手にインストールされてしまうことがあります。その結果、データが勝手に暗号化されたり、情報が外部に流出したりする被害が発生するのです。
ゼロデイ攻撃によるマルウェア感染は、一般的なセキュリティ対策ソフトで防ぐのはむずかしいといわれています。ゼロデイ攻撃で標的になるのは未知の脆弱性であり、既知のマルウェアを防ぐセキュリティ対策ソフトだけでは、防げないためです。
不正アクセス
ハードウェアやソフトウェア、OSなどの脆弱性が解消されていない場合、ゼロデイ攻撃が行われ、不正アクセスされることがあります。
不正アクセスされると、企業内の情報が外部に漏洩する、Webサイトやデータの改ざんが起こるなどの被害が発生することが考えられます。
金銭的被害
マルウェア感染によりランサムウェアがインストールされ、企業内のデータが勝手に暗号化されることもあります。その結果、暗号化されたデータを元に戻す代わりに、企業に身代金を要求する手口が確認されています。
また、サイバー攻撃による被害を受けると、システムの復旧、顧客や取引先へのアナウンスなどが必要になり、直接的な金銭被害も発生するでしょう。一定期間サービスを停止することで、売上の減少や顧客離れにつながることもあります。
場合によっては、莫大な金銭的被害が発生することもあるので、十分な対策が必要です。
企業の社会的信用の低下・喪失
不正アクセスにより、機密情報や個人情報が盗まれて外部に流出する、データが改ざんされるなどの被害にあうと、企業の社会的信用が大きく損なわれます。
たとえば、企業サイトに登録されていた顧客のメールアドレスが流出すると、不安に感じた顧客が離れていってしまうでしょう。十分なセキュリティ対策が行われていない企業だと、世間に認識されてしまうかもしれません。
さらなる被害範囲の拡大
スパムメールや改ざんされたWebサイトなどからマルウェア感染したデバイスを通じて、さらに感染が拡大することも考えられます。たとえば、マルウェア感染したデバイスから、メール情報などを取得して勝手にメールを送りつける、ネットワークを介して感染が広がるケースなどがあります。
ゼロデイ攻撃の被害リスクが高い企業とは?
ゼロデイ攻撃の被害を受けやすいのは、どのような場合なのでしょうか。ここでは、実際に起こった事例も踏まえて、ゼロデイ攻撃を受けやすい企業の特徴についてご説明します。
サードパーティリスクの管理が十分ではない
現在のシステム開発では数多くのサードパーティ製品を利用します。1つのサードパーティ製品に脆弱性が発見されると、それを利用した製品群にリスクが波及する可能性があります。
実際、2021年末にオープンソースのWebサーバーがゼロデイ攻撃を受け、リモートコードの実行、DoS攻撃、暗号資産の不正マイニングなどの被害が急増しました。
リスク管理無しにデジタル化を進めている
社内のデジタル化が進むことで業務負担が減り、コスト削減につながる一方、サイバー攻撃を受けやすくなるというデメリットもあります。デジタル化は進めるべきですが、セキュリティ対策も万全にしていかなければなりません。
過去に、大手企業が使用していたウイルス対策システムがゼロデイ攻撃を受け、不正アクセスされた事例が起こっています。その結果、従業員の数千人単位の個人情報や社内の機密情報が、外部に流出した可能性があります。
セキュリティ対策なしにテレワークを導入している
テレワークの場合は、社内で仕事をするよりも、セキュリティ対策が手薄になりやすい傾向があります。社内のデバイスやソフトウェアの脆弱性対策は万全でも、個人管理の場合は対策が不十分なこともあるでしょう。その結果、脆弱性をついたサイバー攻撃を受けやすくなります。
実際、メールシステムの脆弱性を狙うゼロデイ攻撃にあい、企業が管理する個人情報が流出した事例も起きています。
ゼロデイ攻撃の被害にあった場合の対処法
万が一、ゼロデイ攻撃の被害にあってしまった場合は、どのような対処を行えばよいのでしょうか。日ごろから対処法を確認し、マニュアル化などもしておくことで、被害を最小限に抑えられるでしょう。
被害端末をネットワークから切り離す
被害にあった端末をすみやかに特定し、すぐにネットワークから切り離しましょう。インターネット、社内ネットワークから切り離し、ほかの端末に影響が出ないようにする必要があります。企業サイトなどの改ざんが確認された場合は、サイトを閉鎖します。
社内のセキュリティ管理部署や警察、セキュリティ対策委員会に報告する
隔離が完了したら、社内のセキュリティ管理部署にできるだけはやく報告します。被害の内容によっては、警察に届け出る必要もあるでしょう。
また、以下のような事象が発生した場合には、IPA(情報処理推進機構)に届け出ることで、以降の攻撃を未然に防ぐための協力ができます。
・ウイルス感染を検知した
・ランサムウェア被害にあった
・不正アクセスの被害にあった
・不審なWebサイトやメールを発見した
など
セキュリティ対策ソフトや初期化で脅威をとり除く
セキュリティ対策ソフトで被害にあった端末をフルスキャンし、ウイルスやマルウェアの駆除を行います。場合によっては、端末の初期化が必要な場合もあるため、日ごろからデータのバックアップを行っておくことをおすすめします。
ゼロデイ攻撃の被害を防ぐための対策
ゼロデイ攻撃の被害にあわないようにするためには、日ごろからどのようなことを対策しておけばよいのかをご説明します。
OSを最新の状態に保つ
OSやソフトウェアなどを定期的にアップデートし、つねに最新の状態に保つ必要があります。自動更新設定を行う、更新漏れがないようにデバイスの管理を徹底するなどの対策が必要です。
ネットワーク接続のログを監視する
社内ネットワークへの接続状況をログで監視することにより、不審なアクセスが発生していないかを確認できます。不正アクセスなど、サイバー攻撃の兆候を監視することで、被害を未然に防げる場合もあります。
EDR製品を導入する
EDR(エンドポイント検出対策)を導入すれば、エンドポイントの端末を監視し、セキュリティの脅威の検知、対処をすみやかに実行できます。EDRの導入は、脅威を未然に防ぐだけでなく、攻撃を受けた後の対処に重点を置いた対策です。脅威検知後に、すばやく対応できるというメリットがあります。
サンドボックス環境をつくる
サンドボックス環境とは、隔離された仮想空間で、内部の動作を外部から観察できる仕組みのことです。この環境を利用して、不審なファイルなどの安全性の確認や解析などができます。
重要な情報は暗号化・隔離をしておく
社内の重要な機密情報や個人情報などは、暗号化しておく、厳重に管理された領域に隔離しておくなどの対策も必要です。外部に流出した場合に影響が大きい情報は、日ごろから厳重に管理しておく必要があるでしょう。
社内のセキュリティリテラシーを高める
どれだけ厳重なセキュリティ対策を行っていても、内部犯行やヒューマンエラーを防ぐことは困難です。そのため、社内のセキュリティリテラシーを高めるための研修を定期的に行うなど、対策を行う必要もあります。
脆弱性診断を受ける
セキュリティの専門会社による脆弱性診断を受けることで、社内のハードウェアやソフトウェアに潜む脆弱性の有無を明らかにできます。一度も診断を受けたことがない場合には、受けることをおすすめします。
SHIFTのセキュリティ(脆弱性)診断について
この記事では、ゼロデイ攻撃について、その手口や被害を受けた場合の影響、対処法などを解説しました。OSやソフトウェアのアップデートを定期的に行っていても防げないケースがあり、より高度な対策が必要です。
SHIFTでは、ゼロデイ攻撃の対策として、品質の高いセキュリティ(脆弱性)診断を行っています。セキュリティ基準の高い金融業界の実績を活かして、最適な診断をご提供します。ゼロデイ攻撃をはじめ、高度化したサイバー攻撃への対策にお悩みの場合は、ぜひご相談ください。
<SHIFTの脆弱性診断>
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINT(Open-Source Intelligence)とは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
