デバイス活用マガジン「モビナビ」
デバイス管理の“ できない” を“ もっとできる” に変えるマガジンです。
当社サービスだけでなく、様々な角度で情報を発信しています。
ゼロデイ攻撃とは?意味や特徴、被害事例や最新対策方法までチェック!
サイバー攻撃は、年々巧妙かつ増加してきており、日々新たな攻撃手法が登場してきています。数あるサイバー攻撃の中でも、その一種である「ゼロデイ攻撃」は、まだ公にされていない脆弱性を狙うため、予測しづらい上にすぐに対策することが難しい攻撃です。
本記事では、ゼロデイ攻撃に焦点を当て、その意味や特徴、過去の被害事例に加え、それを踏まえた最新の対策方法について徹底解説していきます。
この記事の目次[表示する]
MDM導入のご検討・
ご相談はこちら
ゼロデイ攻撃の意味
「ゼロデイ攻撃」とは、情報公開や対策が講じられていない脆弱性(セキュリティホール)を狙った攻撃のことを言います。ソフトウェアの脆弱性が発見されてから、修正パッチが公開されるまでのタイムラグを狙っており、修正プログラムが提供されていない脆弱性を悪用した攻撃であるとも言えます。修正パッチが公開された日を1日目として、修正プログラムがまだ適用されていない状態を“ゼロデイ(0日目)”として表現したことが名称の由来となります。
ゼロデイ攻撃は、脆弱性の存在やそれに対する修正パッチが公に知られていない中で発生するため、未然に攻撃を防ぐことは非常に困難です。そのため、数あるサイバー攻撃の中でも、もっとも深刻な脅威であると言われています。
ゼロデイ攻撃の仕組みや特徴
まずは、ゼロデイ攻撃の仕組みやその特徴についてみていきましょう。
ゼロデイ攻撃の仕組み
ゼロデイ攻撃は、攻撃者がソフトウェアの脆弱性を見つけることからはじまります。発見された脆弱性をどのように攻撃するか攻撃方法を検討したり、脆弱性を利用した不正プログラムを開発したうえで、その脆弱性が開発ベンダーに発見されなければ、ゼロデイ攻撃が開始されます。
ゼロデイ攻撃は開発ベンダーからすれば未知の脆弱性を悪用するため、攻撃が実行されたタイミングで、その脆弱性を修正するパッチやセキュリティ対策によるシグネチャファイルが提供されることはありません。
脆弱性が発見されてから、開発ベンダーによる修正パッチの作成やシグネチャファイルが提供されるまである程度の時間がかかることから、それまでの期間はゼロデイ攻撃による被害が拡大し続け、その危険性は甚大なものだと言えます。
ゼロデイ攻撃は2種類に分類される
ゼロデイ攻撃は、主に「ばらまき型攻撃」「標的型攻撃」の2種類に分類されます。
ばらまき型攻撃
1つ目は、「ばらまき型攻撃」という手法です。その対象はwebサイトとなっており、webサイトに訪れる不特定多数のユーザーへ攻撃をしかけるといった内容となっています。具体的には、多くのユーザーが閲覧するWebサイトに対して攻撃者が改ざんを行い、脆弱性を悪用した不正プログラムを仕込んだ上で、Webサイトに訪れたユーザーへ不正プログラムを感染させるといった手法になります。
標的型攻撃
「標的型攻撃」もゼロデイ攻撃の一種です。先の不特定多数のユーザーに攻撃をしかけるばらまき型とは違い、ターゲットが定められている攻撃であることが特徴です。攻撃者はターゲットとなる企業やユーザーに向けて、脆弱性を悪用した不正プログラムをメールの添付ファイルに組み込みます。そこからファイルを開封したユーザーは不正プログラムに感染してしまうといった攻撃手法となっています。そのほかにもメール内にURLを記載し、ユーザーがクリックすると感染に至るといった手口もあります。
ゼロデイ攻撃の被害事例
ゼロデイ攻撃とは、具体的にどのようなものがあるのでしょうか。ここでは、過去のゼロデイ攻撃の被害事例をいくつかご紹介します。
2014年「シェルショック」
ゼロデイ攻撃の被害事例の中でも、2014年9月に発生した「シェルショック」は、多くの技術者を恐怖に陥れた有名な事例と言えるでしょう。
これは、Linuxなどで使用されているシェルプログラムの1つである「bash」で見つかった脆弱性を悪用した攻撃であり、その脆弱性を悪用すると遠隔地からのコマンド入力が可能になります。
「bash」は、多くのサーバーの運営管理に使用されていることから、周囲への影響が大きく、IPAより緊急告知が行われることになりました。
とくにサーバーの稼働を停止できない企業や、代替となるサーバーが用意できないケースなどは、修正パッチが出るまで対応策が限られてしまいます。場合によってはセキュリティーソフトのシグネチャ更新日までの期間中は対処できない状態となるため、この「シェルショック」は多くの技術者たちにゼロデイ攻撃の脅威を印象づけさせる事態にもなりました。
2015年「Adobe Flash Player」
2015年には、米国の「Adobe Systems(現:Adobe)社」が提供するAdobe Flash Playerのバージョンに対して、致命的な脆弱性が発見され、その脆弱性を狙ったゼロデイ攻撃が確認されました。
ユーザーはAdobe Flash Playerを使用してFlashを読み込むと、それ以外のソフトウェアも強制的にダウンロードされる”ドライブバイダウンロード攻撃“を受けるリスクがあると報告されています。このドライブバイダウンロード攻撃に遭うと、マルウェアがダウンロードされ、個人情報の流出のほか、PCの乗っ取りなどが可能な状態になります。
Adobe社は、ゼロデイ攻撃を確認した直後に脆弱性の修正プログラムを公開していますが、ユーザーの信用が大きく失われたことにより、Adobe Flash Playerのサービスを停止する事態となりました。
2020年「三菱電機株式会社への不正アクセス」
2020年に発生した、三菱電機株式会社へのサイバー攻撃による不正アクセス事件も大きな話題を呼びました。
流出の可能性があるデータに対して、安全保障に影響を及ぼしかねない59件の重要な情報が含まれていることが明らかとなりました。
また、同社が2020年1月20日に公表した外部からの不正アクセス問題では、セキュリティーパッチが公開されていない脆弱性を利用したゼロデイ攻撃を受けたことで、約2万件の防衛情報の流出可能性が浮上する事態となりました。
ゼロデイ攻撃の最新対策法
ゼロデイ攻撃に対して、どのような対策が有用なのでしょうか。ここでは、最新の対策法についてご紹介していきます。
OSやプログラムを最新にアップデートする
ゼロデイ攻撃は、ソフトやOSの脆弱性を狙って攻撃が行われます。そのため、OSやプログラムを最新の状態にアップデートすることが非常に重要です。
とくにOSの脆弱性は、世界的なばらまき型の攻撃に使用されるケースがあり、その場合は社内をはじめ取引先などに大きな損害を与えてしまうことになります。
さらに、OSやプログラムなどのアップデートと併せて、メーカーサポートの切れた製品の利用を控えることも重要です。
ゼロデイ攻撃は、修正プログラムが実施される前の脆弱性を突いた攻撃ですが、サポート切れの製品は、そもそも修正プログラムが適用されません。万が一、脆弱性が発見された場合、真っ先に攻撃されてしまうことになります。
このような被害を防止するためにも、OSなどを常に最新の状態にアップデートすることや、サポート切れの製品がないかどうか、随時チェックしておくようにしましょう。
EDR製品の導入
ゼロデイ攻撃の対策法として、EDR製品の導入もおススメの対策法です。
EDR(Endpoint Detection and Response)とは、エンドポイントセキュリティの一種であり、PCやタブレットなどのネットワークに接続されているエンドポイントの動作を監視し、不審な動きや異常を検知するための手法です。
EDR製品を利用することで、万が一、マルウェアが侵入した場合もその振る舞いを検知し、除去するといった初動の対処を速やかに行います。こうすることで、被害を最小限に抑えることができます。
ゼロデイ攻撃は、基本的には未知の攻撃となるため、マルウェア感染後に被害を抑えるEDRのようなセキュリティ対策が必要と言えるでしょう。
EDRやエンドポイントセキュリティについて詳しく知りたい方は、以下の記事をご覧ください!
≫エンドポイントセキュリティ、EDRって?重要性やマルウェアへの対策ポイントとは
サンドボックスの導入
サンドボックスを利用した対策も、ゼロデイ攻撃を防止するためにはおススメの方法です。「サンドボックス」はITの世界においては、コンピュータ内に設けられた「仮想環境」「疑似環境」のことを指しています。サンドボックスを利用して作られる仮想環境は、コンピューター内の他の環境とは隔離された独立した環境となっています。
外部から届いた悪意のあるファイルやプログラムに気付かず実行したら、マルウェアに感染して被害を受けてしまったというケースは多くみられるものです。
このとき、サンドボックス内部でプログラムを動作させることで、仮にそのファイルやプログラムがマルウェアだったとしても実環境とは分離されているため、影響を受けることはありません。ゼロデイ攻撃においても、その被害を最小限に留めることができるでしょう。
なお、サンドボックスは本来「砂場」を表す言葉で、子どもが遊ぶ砂場が周囲の環境とは切り離された安全な遊び場であるように、エンドユーザーが利用する実環境から分離された環境であることから、このように名づけられたのだと言われています。
ちなみにサンドボックスは、オフィスに設置しているファイアウォールに機能として搭載している場合や、オプションで付帯できる場合などがあります。もしオフィスにファイアウォールを設置していない場合は、クラウドメールのオプションとして利用できるサンドボックスもあるので、一度確認してみるといいでしょう。
企業のセキュリティ対策はMDMの導入から
ゼロデイ攻撃は、数あるサイバー攻撃の中でも対策が難しい攻撃です。そのため、今回ご紹介したOSのアップデートをはじめ、脆弱性があることを前提としたサンドボックスの導入や、マルウェアに感染した場合の対処法としてEDRの導入などによる多層防御を行うことは非常に有効な方法と言えます。
もちろんこれらの対策は重要ですが、日頃から従業員が業務で利用するPCやタブレット、スマートフォンなどのデバイスをMDMを導入して、安全に管理・運用することから始めることが、企業のセキュリティ対策として先決と言えるでしょう。
MDM(モバイルデバイス管理)って?
企業へMDM(モバイルデバイス管理)を導入すると、タブレットやスマートフォンなどのモバイルデバイスを一元管理することができます。そのほかOSアップロードや不正アプリのインストール防止などを行うことができるため、サイバー攻撃による脅威から回避することができます。
企業の場合、従業員によってはOSのアップデートを忘れているといった場合も多くあるかと思いますが、MDMを導入することでOSアップデート漏れなども防ぐことができます。MDMは管理、運用の面はもちろん、セキュリティ対策にも大きくします。
そのほかMDMでは、アプリの配信や位置情報の取得などもまとめて行うことができる機能も搭載しています。紛失時の対策なども遠隔からしっかり行えるため、企業のモバイルデバイス管理やセキュリティ対策には必須のツールです。。
当社のMDM「mobiconnect」の機能や導入事例については、こちらをご覧ください!
▼機能一覧、導入事例集はこちら
https://www.mobi-connect.net/request/
まとめ
今回は、ゼロデイ攻撃の特徴や過去の被害事例と最新の対策法について解説していきました。企業にとって時間的なタイミングが鍵となるゼロデイ攻撃において、今回ご紹介した対策は被害を食い留める有効な対策と言えます。ゼロデイ攻撃の被害に遭う前に企業にあった対策を取り入れ、セキュリティを強化していきましょう。