ゼロデイ(Zero day)攻撃とは?
ゼロデイ攻撃とは、ソフトウェアやハードウェアに存在する未知の脆弱性を悪用するサイバー攻撃のことを指します。この「ゼロデイ(Zero day)」の意味は、開発者やセキュリティ専門家がその脆弱性の存在を認識し、修正するための僅かな期間「Zero day」を狙ったサイバー攻撃であることから由来しています。
ゼロデイ攻撃の特徴~未知の脆弱性を狙うサイバー攻撃~
ゼロデイ攻撃の主な特徴は、その予測不可能性と迅速な被害拡大・隠密性が挙げられます。
通常、ソフトウェアの開発者は脆弱性を発見すると、修正パッチを提供し、ユーザーに更新を促しますが、ゼロデイ攻撃ではそのパッチが提供される前に攻撃が行われます。まさに、ゼロデイ攻撃は「未知の脆弱性」をターゲットにします。
さらに、攻撃者は被害者が攻撃に気づかないように、システムのログを改ざんしたり、通常の動作を模倣する手口を使うため、攻撃が発覚するまでの時間を稼ぎ、より多くのデータを盗むことが可能となります。また、この攻撃はターゲットの特性に応じてカスタマイズされるため、一度発見されても他のシステムにはそのまま適用できない場合が多いです。
ゼロデイ攻撃が成功すると、その影響は非常に大きく、企業の機密情報が流出したり、金融機関の資金が不正に移動されたりすることがあります。さらに、攻撃が公に知られると、その企業の信用が失墜するリスクも高まります。こうした理由から、ゼロデイ攻撃に対する迅速な対策と予防策の強化が求められています。
ゼロデイ攻撃の手法例
| 手法 | 説明 |
|---|---|
| エクスプロイト | 特定の脆弱性を狙って作成されたプログラムやコードで、脆弱なシステムに対して直接攻撃を仕掛けます。 |
| フィッシング詐欺 | 攻撃者はメールやSNSを使ってターゲットを騙し、悪意のあるリンクをクリックさせたり、マルウェアをダウンロードさせたりします。これにより、ゼロデイ脆弱性を含むマルウェアがシステムに侵入し、被害をもたらすことがあります。 |
| ドライブバイダウンロード | 攻撃者はウェブサイトに悪意のあるコードを埋め込み、訪問者がそのサイトを閲覧するだけでマルウェアが自動的にダウンロードされるようにします。この手法は、特に人気のあるサイトやユーザーが頻繁に訪れるサイトを狙うため、被害が大規模になることが多いです。 |
| SQLインジェクション | 攻撃者がウェブアプリケーションの脆弱性を利用して、データベースに悪意のあるSQLクエリを挿入します。これにより、データの漏洩やデータベースの改ざんが行われることがあります。 |
| クロスサイトスクリプティング(XSS) | 攻撃者がウェブページにスクリプトを埋め込み、ユーザーがそのページを閲覧するとスクリプトが実行されます。これにより、ユーザーの個人情報が盗まれたり、セッションが乗っ取られたりすることがあります。 |
| リモートコード実行(RCE) | 攻撃者がリモートからシステム上のコードを実行することができ、システム全体を制御することが可能です。RCEは特に危険で、攻撃者が個人情報だけでなく完全な管理権限を取得することもあります。 |
| サプライチェーン攻撃 | ソフトウェアの開発段階やアップデートの配信経路などを悪用し、広範囲にマルウェアを拡散させる手法です。 |
一例ではありますが、このようにゼロデイ攻撃の手法は多岐にわたり、攻撃者はターゲットのシステムにマルウェアをインストールし、情報を盗み出す・システムを破壊する・または他の攻撃の足がかりとすることができます。
IPA(情報処理推進機構)が公表する2024年の組織向け情報セキュリティ10大脅威にもランクイン!
IPA(情報処理推進機構)は、毎年、「情報セキュリティ10大脅威」を公表しており、2024年度の10大脅威については、
2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、10大脅威を決定しています。
2024年度 組織向け「情報セキュリティ10大脅威」~早急な対応が求められる危険性の高いサイバー攻撃~
| 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|
| ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
こういったサイバー攻撃・脅威に対しては、それぞれの組織が、関係ある項目はすべて対策を行うことを推奨しており、自組織の事業や体制にはどのようなリスクがあるのか洗い出すことが重要です。
増加するゼロデイ攻撃の事例 ~原因と対策~
2021年の注目すべきゼロデイ攻撃事例
2021年は、サイバーセキュリティの観点から注目すべきゼロデイ攻撃がいくつか発生しました。
特に、Microsoft Exchange Serverのゼロデイ脆弱性はその代表的な例です。ハフニウム(HAFNIUM)と名付けられた中国の国家支援グループによるこの攻撃は、Exchange Serverに存在する複数のゼロデイ脆弱性を悪用し、企業や政府機関のメールサーバーに不正アクセスを行いました。この攻撃により、数十万の企業が影響を受け、多量の機密情報が危険にさらされました。
また、GoogleのChromeブラウザに対するゼロデイ攻撃も2021年に注目を集めました。Googleは、攻撃者がV8 JavaScriptエンジンの脆弱性を悪用して任意のコードを実行できるゼロデイ攻撃を発見し、迅速にパッチを提供しました。この攻撃は、ユーザーが特定の悪意のあるウェブサイトにアクセスするだけで感染する可能性があり、多くのユーザーにとって深刻なリスクをもたらしました。
さらに、AppleのiOSにもゼロデイ攻撃が報告されました。Pegasusと呼ばれるスパイウェアを用いた攻撃は、iPhoneやiPadのゼロデイ脆弱性を悪用して、ユーザーのデバイスに不正にアクセスし、データを盗み出すものでした。これにより、数多くのジャーナリストや人権活動家がターゲットとなり、プライバシーが侵害されました。
2021年のこれらのゼロデイ攻撃事例は、サイバーセキュリティの重要性を再認識させるものであり、企業や個人が常に最新のセキュリティ対策を講じる必要性を強調しています。ゼロデイ脆弱性は発見されるまで防御が難しいため、迅速なパッチ適用や多層防御の実施が求められます。
2023年:内閣サイバーセキュリティセンター(NISC)と気象庁のメール関連機器へのゼロデイ攻撃
2022年から2023年にかけて、NISCと気象庁の使用するメール関連システム・機器に対して、未公開の脆弱性を悪用したゼロデイ攻撃が発生しました。
この攻撃により、約5,000件の個人情報が流出した可能性があり、両機関は速やかに不正通信被害にあったとされるメール機器の交換を実施し、再発防止策の実施を進めています。
2022年から2023年の期間にかけて発生し、攻撃は、Barracuda社のアプライアンス「Email Security Gateway (ESG)」の脆弱性(CVE-2023-2868)を悪用したものでした。この脆弱性は、細工された添付ファイルを送信することで、ESG上で指定したスクリプトを実行することが可能なものでした。
攻撃者グループ「UNC4841」がこの脆弱性を悪用したゼロデイ攻撃を全世界で行っていたと報告されています。
NISCでは、2022年10月から2023年5月の間に約5,000件の個人情報を含むメールデータが外部に漏洩した可能性があります。気象庁でも同様に、2022年6月から2023年5月の間に受信したメールデータの一部(件名・本文・アドレス・添付ファイル等)が漏洩していたとのことです。
NISCでは2023年6月13日に不正通信の痕跡を発見し、同14~15日に原因とされる機器を交換しました。
NISCは、影響を受けたシステムの運用を停止し、機器の交換を実施しました。また、他の機器に異常がないか確認し、内部監視を強化する対策を実施しました。保守運用事業者の調査により、不正通信が当該機器の脆弱性を原因とする証跡が確認されました。
これにより個人情報が漏洩した可能性があるため、NISCは影響を受けた可能性がある約5,000人に対して個別に通知を行い、NISCを装った「なりすましメール」などへの注意を呼びかけました。
両機関は、再発防止策の実施を進めています。特に、UTMやセキュリティアプライアンスに対するゼロデイ攻撃に対して、多層防御を採用することが重要とされています。
2024年:Versa Directorのゼロデイ攻撃
Versa Directorのゼロデイ攻撃は、中国のサイバースパイ集団「Volt Typhoon」によって行われました。この攻撃は、Versa Directorの特定のコンポーネントに存在する未知の脆弱性を悪用しました。
攻撃グループ「Volt Typhoon」は、主に政府機関や企業を標的とするサイバースパイ集団であり、Versa Directorの脆弱性を利用して機密情報を盗み出す目的で攻撃を行いました。この攻撃により、Versa Directorを使用する組織の機密情報が危険にさらされる可能性がありました。
対策として、Google Chromeのユーザーは、最新バージョンへのアップデートを迅速に行うことが推奨されています。Versa Directorのユーザーも、最新のセキュリティパッチを適用し、システムを更新することが重要です。また、多層防御を採用することも重要で、ファイアウォール、IDS/IPS、セキュリティソフトウェアの使用など、複数の防御手法を組み合わせることで、リスクを軽減することができます。
金融機関に対するゼロデイ攻撃事例 ~被害と原因~
金融機関はサイバー攻撃の主要なターゲットであり、ゼロデイ攻撃も例外ではありません。特に、金融機関は大量の個人情報や財務データを保有しているため、攻撃者にとって非常に魅力的な標的です。ここでは、金融機関に対するゼロデイ攻撃の具体的な事例を紹介します。
2016年に発生したSWIFT(国際銀行間通信協会)システムを悪用したゼロデイ攻撃は、その代表的な例です。攻撃者はまず、銀行の内部ネットワークに侵入し、SWIFTシステムのゼロデイ脆弱性を突いて、偽の送金指示を発行しました。この攻撃により、バングラデシュ中央銀行から約8100万ドルが不正に送金され、大きな被害をもたらしました。この事件は、金融機関がゼロデイ攻撃に対していかに脆弱であるかを浮き彫りにしました。
また、2018年には、メキシコの銀行がゼロデイ攻撃に遭い、国内の決済システムに重大な影響を与えました。攻撃者は、銀行の内部ネットワークに侵入し、ゼロデイ脆弱性を利用して、偽の送金指示を発行しました。この攻撃により、多くの銀行が一時的に業務停止を余儀なくされ、数百万ドルの損失が発生しました。この事例は、金融機関が持つインフラの一部がゼロデイ攻撃に対して脆弱であることを示しています。
さらに、2020年には、ヨーロッパの主要な金融機関がゼロデイ攻撃の標的となりました。攻撃者は、金融機関のネットワークセキュリティソフトウェアのゼロデイ脆弱性を突いて内部に侵入し、顧客データや財務情報を盗み出しました。この攻撃は、多くの顧客に対する信頼を損ね、金融機関に対する信用リスクを増大させました。
これらの事例から分かるように、金融機関に対するゼロデイ攻撃は非常に高度で組織的な手法を用いられており、重要なインフラやデータが標的とされています。金融機関は、ゼロデイ攻撃に対する防御策を強化し、常に最新のセキュリティ対策を講じる必要があります。
ゼロデイ攻撃に対する対策
パッチ管理の重要性
パッチ管理とは、ソフトウェアやシステムの脆弱性を修正するためのプログラム更新を適切に適用するプロセスを指します。この管理が適切に行われていないと、ゼロデイ攻撃のリスクが大幅に増加します。パッチ管理の重要性は、以下の点で特に顕著です。
【パッチ管理の重要性】
①システムのセキュリティを強化
脆弱性が発見されると、ソフトウェアベンダーは迅速に修正プログラムを提供します。この修正プログラムを適用することで、既知の脆弱性を悪用した攻撃を防ぐことができます。特に企業の場合、内部ネットワークを通じて広範な被害が発生するリスクがあるため、パッチ管理は不可欠です。
②法令遵守への寄与
多くの業界では、情報セキュリティに関する法令や規制が存在し、これらを遵守することが求められます。定期的なパッチ適用は、これらの法令や規制を満たすための重要な要素となります。例えば、GDPRやHIPAAなどの規制は、個人情報を保護するための具体的なセキュリティ対策を義務付けています。
③業務の継続性を確保
システムが攻撃を受けて停止すると、業務に重大な影響を及ぼします。定期的なパッチ適用により、システムの安定性を維持し、業務の中断を最小限に抑えることができます。特に金融機関や医療機関など、システムの停止が許されない業種においては、パッチ管理の重要性は一層高まります。
⑤コスト削減
ゼロデイ攻撃を受けた後の対策には、多大な時間と費用がかかります。事前にパッチ管理を徹底することで、これらのコストを削減し、リスクを低減することができます。攻撃を未然に防ぐことで、データ漏洩や情報漏洩、システム停止による損失を防ぎ、企業の信頼性を維持することができます。
以上のように、パッチ管理はゼロデイ攻撃からシステムを守るための基本的かつ重要な対策です。被害を最小限に抑えるためにも、定期的なパッチ適用を怠らず、常に最新の状態を保つことで、セキュリティリスクを最小限に抑えることができます。
WAF(Webアプリケーションファイアウォール)の役割
WAF(Webアプリケーションファイアウォール)は、ゼロデイ攻撃からWebアプリケーションを保護するための重要なセキュリティツールです。ゼロデイ攻撃は、既知の脆弱性が修正される前に攻撃者がそれを悪用するものであり、特に防御が難しいとされています。WAFは、Webアプリケーションの通信を監視し、異常な挙動や既知の攻撃パターンを検出してブロックする役割を果たします。
WAFの主な機能には、SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なWeb攻撃からの防御が含まれます。これにより、ゼロデイ攻撃が行われた場合でも、攻撃者が悪用することが難しくなります。特に、WAFはリアルタイムでのトラフィック監視と異常検知を行うため、未知の脆弱性を利用した攻撃に対しても一定の防御効果を発揮します。
さらに、WAFはルールベースのフィルタリングを行うため、管理者が特定の脆弱性に対する防御をカスタマイズすることも可能です。例えば、新たに発見された脆弱性に対するパッチがリリースされる前に、一時的な防御策としてWAFのルールを調整することで、攻撃のリスクを低減することができます。このように、WAFはパッチ適用が間に合わない場合でも、即座に防御策を講じる手段を提供します。
また、WAFはログ管理やアラートシステムも搭載しており、攻撃の兆候を早期に発見するための情報を提供します。これにより、セキュリティチームは迅速に対応策を講じることができます。さらに、WAFは他のセキュリティツールと連携することができ、総合的な防御戦略の一環として機能します。例えば、EDR(エンドポイント検出と応答)やセキュリティインフォメーション&イベントマネジメント(SIEM)システムと連携することで、より包括的なセキュリティ対策を実現します。
WAFは、ゼロデイ攻撃のリスクを低減するための重要な防御策として、Webアプリケーションを保護するための強力なツールです。適切な設定と運用により、既知および未知の脆弱性からの攻撃を効果的に防御することができます。
EDR(エンドポイント検出と応答)の効果
EDR(エンドポイント検出と応答)は、ゼロデイ攻撃に対する効果的な防御手段の一つとして注目されています。ゼロデイ攻撃は、既知の脆弱性が修正される前に悪意のある攻撃者によって利用されるため、その検出と応答が迅速に行われることが極めて重要です。ここでEDRの具体的な効果について詳しく見ていきましょう。
まず、EDRはリアルタイムでエンドポイント(端末)の挙動を監視し、不審な活動を即座に検出する能力を持っています。これにより、未知の脅威が検知される可能性が高まり、ゼロデイ攻撃の初期段階での発見が可能です。EDRは、通常のウイルス対策ソフトでは見逃されがちな高度な攻撃手法も捉えることができます。
次に、EDRは高度な分析機能を備えており、攻撃の全体像を把握することができます。例えば、攻撃の起点から拡散経路、影響範囲まで詳細に調査し、被害を最小限に抑えるための適切な対応策を講じることができます。これにより、ゼロデイ攻撃が発生した際の迅速な対応が可能となり、被害の拡大を防ぐことができます。
さらに、EDRは自動応答機能を持つことが多く、検出された脅威に対して即座に対策を講じることができます。具体的には、感染した端末をネットワークから隔離したり、悪意のあるプロセスを終了させたりすることが可能です。これにより、人的リソースの負担を軽減しつつ、高速で効果的な対応が実現します。
EDRはまた、過去のデータを基にした脅威インテリジェンスの共有も行います。他のエンドポイントでの類似事例を参考にし、早期警戒を行うことで、未然に攻撃を防ぐことができます。これにより、組織全体のセキュリティレベルが向上します。
最後に、EDRはセキュリティ運用チームと連携して効果を最大化します。EDRが提供する詳細なログ情報やインシデント分析結果を基に、専門家がより精緻な対応策を策定し、組織のセキュリティポリシーを強化することが可能です。
以上のように、EDRはゼロデイ攻撃に対する多層的な防御策を提供し、組織のセキュリティ体制を強化します。ゼロデイ攻撃に対する効果的な対策として、EDRの導入は非常に有益であると言えるでしょう。
セキュリティソフトの選び方
セキュリティソフトの選び方は、ゼロデイ攻撃を含む様々なサイバー脅威からの防御を確実にするために非常に重要です。選ぶ際には以下のポイントに注意することが推奨されます。
| 機能 | 説明 |
|---|---|
| リアルタイム保護機能 | セキュリティソフトは、未知の脅威をリアルタイムで検出し、阻止する能力が求められます。ゼロデイ攻撃は脆弱性が公開される前に行われるため、迅速な対応が不可欠です。 |
| 定期的な更新とサポート | セキュリティソフトが定期的に更新され、新しいウイルス定義や攻撃パターンに対応できることが重要です。また、サポート体制が整っていることも確認しましょう。 |
| 多層防御 | ウイルス、マルウェア、フィッシング攻撃など、様々な脅威に対して多層的な防御を提供するソフトを選びましょう。ファイアウォール、アンチウイルス、アンチマルウェア、アンチフィッシングなどの機能が統合されているものが理想的です。 |
| ユーザビリティ | セキュリティソフトは使いやすさも大切です。インターフェースが直感的で、設定や操作が簡単であることが望ましいです。複雑な設定が不要で、初心者でも扱いやすいものを選ぶと良いでしょう。 |
| システムパフォーマンスへの影響 | セキュリティソフトがインストールされたシステムのパフォーマンスにどの程度影響を与えるかも重要なポイントです。軽量でありながら高い防御力を持つソフトを選ぶことが、日常の業務に支障をきたさないために必要です。 |
まとめ:求められるセキュリティ対策
ゼロデイ攻撃に対する効果的な対応策を理解し、実践することで企業や個人のセキュリティを大幅に向上させることができます。ゼロデイ攻撃は、未知の脆弱性を狙った攻撃であり、その対策には多角的なアプローチが必要です。
まず、パッチ管理を徹底することが基本であり、ソフトウェアの開発者が脆弱性を発見し、修正パッチを発行したら、速やかに適用することでリスクを低減できます。
次に、WAF(Webアプリケーションファイアウォール)の導入が効果的です。WAFは、アプリケーション層での攻撃を検出し、ブロックするため、ゼロデイ攻撃の一部を防ぐことができます。
さらに、EDR(エンドポイント検出と応答)を活用することで、ネットワークのエンドポイントでの異常な活動をリアルタイムで監視し、迅速に対応することが可能です。
最後に、信頼性の高いセキュリティソフトを選び、最新の脅威に対応することも重要です。
これには、定期的なアップデートや多層防御機能を持つ製品を選ぶことが推奨されます。
これらの対策を組み合わせて実施することで、ゼロデイ攻撃に対する防御力を強化し、セキュリティインシデントの発生を未然に防ぐことが期待できます。
- 寄稿
-
株式会社セミナーインフォThe Finance編集部
