ここ数年ゼロデイ攻撃が増えつつあることから、企業はセキュリティ対策に早急に取り組むことが大切です。本記事では、ゼロデイ攻撃とは何かといった概要から主な手口、近年被害が増えてきた背景、過去の事例まで解説します。また、ゼロデイ攻撃の特性を押さえたうえで、被害を最小限にするために企業が講じるべき対策について紹介します。
ゼロデイ攻撃とは?
ゼロデイは英語で「Zero-Day」と表記し、セキュリティ対策の時間がない(0日)ことを意味します。通常、ソフトウェアのプログラムで脆弱性が見つかった場合、ベンダーは修正パッチなどを提供します。しかし、その提供がされる前に脆弱性を素早く突いて攻撃を仕掛けるのがゼロデイ攻撃の手口です。
また、ゼロデイ脆弱性とは、ソフトウェアで見つかった脆弱性のなかで、その存在が発表される前や、修正パッチが提供される前の脆弱性を指します。
・特徴
年々巧妙化するサイバー攻撃に注意を払っていたとしても、セキュリティホールは基本的に存在します。しかし企業が脆弱性を見つけられておらず、修正パッチ配布前のいわゆる「ゼロデイ脆弱性」の状態では、適切に対応できません。そのため未然に防ぐのが難しく、サイバー被害が広がりやすいのが特徴です。
・有名な事例:シェルショック事件 (2014年)
ゼロデイ攻撃で大きな問題となったのが、2014年9月に起こった「シェルショック事件」です。Linuxなどでユーザとの橋渡し役(シェル)として使われていたプログラム「Bash」において、遠隔からも不正にコマンドを実行されてしまうといった脆弱性が判明しました。
多くの企業では、Bashをサーバーの基幹部分で使っています。すぐにサーバーを停止できない企業などで適切に対応できず、大きな混乱を招きました。
このBashの脆弱性を突いて、実際にアメリカ国防総省では、データをスキャンされる事件が発生しています。日本では、警視庁が調査に入るといった事態にまで発展したこともありました。
近年ゼロデイ攻撃が増えている背景
IPAが公開している「情報セキュリティ10大脅威」によると、ゼロデイ攻撃は2021年時点でランク外だったのが、22年で7位、23年には6位と、その脅威は近年増す一方です。
その理由としては、以下のようなことが考えられます。
IPA|情報セキュリティ10大脅威 2022
参照元:https://www.ipa.go.jp/security/10threats/10threats2022.html
まずは、ゼロデイ攻撃の検出数増加です。未然に防ぐことが困難な脅威として認知され、近年多くのベンダーなどがゼロデイ脆弱性を検知し報告するようになりました。実際にゼロデイ攻撃を受けた数は確認できないものの、検出数が増えることで件数も平行して伸びていることが考えられます。
またデジタル化が進み、モバイルデバイスが一般社会で浸透しているほか、IoTを導入する企業は少なくありません。それら機器の内部に使われているソフトウェアも複雑化しています。IoTの場合、機器類がインターネットに常時接続されていることもゼロデイ攻撃を受けやすい一因です。
ゼロデイ攻撃に使われる主な手口
ゼロデイ攻撃の手口としては、大きく2つの種類があります。攻撃のターゲットを絞った「標的型」と、一気に不特定多数へ攻撃する「ばらまき型」です。
ゼロデイ攻撃ではばらまき型が多く見られますが、近年では標的型も増えています。特定の企業やユーザにターゲットを定め、マルウェアを含んだメールを送りつける方法がよく報告されています。
WordPressのセキュリティについて、詳しくは関連記事「WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策」もご覧ください。
企業として行うべきゼロデイ攻撃対策
ゼロデイ攻撃は脆弱性の判明前や修正パッチの適用前のわずかな時間に行われるため、多くのケースで被害が拡大してしまいます。そうした事態を防ぐために企業が対策できることとしては、主に以下の4つが考えられます。
・デジタル環境を常に最新状態にする
基本的な対策として確実にしておきたいのは、コンピュータのOSやインストールしているソフトウェアなどを最新化しておくことです。コンピュータまわりの環境を早めにバージョンアップしておくと、最新の更新内容に脆弱性の修正が含まれているため、被害を抑えやすくなります。
・サンドボックスを導入する
コンピュータ上の仮想環境として独立している「サンドボックス」を活用することも有効な対策です。先に述べたように、ゼロデイ攻撃ではマルウェアをしのばせてメール送信するケースが多く見られます。マルウェアが潜んでいるおそれのあるメールを開く際に仮想環境のサンドボックスで開くことで、万一、マルウェアが含まれた添付ファイルを開いてしまっても直接的な被害を避けられます。
セキュリティソフトでスキャンしているからと安心するのは危険です。検知できないうちに攻撃を受けているおそれがあるため、サンドボックスを早期発見に役立ててください。
・EDRを導入する
EDR(Endpoint Detection and Response:エンドポイントセキュリティ)製品は、コンピュータやサーバーなどで怪しい挙動をしていないかどうか監視する役目を担っています。
ゼロデイ攻撃を従来のセキュリティソフトですべてを検知することは困難です。しかしEDRを使うと、末端部分の怪しい挙動を検知しやすくなります。ゼロデイ攻撃を受けたとしても、EDRは未知の脆弱性に有効なため、早期にリカバリーできるのがメリットです。ただし、現時点では誤検知されることもあるため、まだ万全ではありません。
・ロジック方式のWAFを導入する
WAF(Web Application Firewall)は、ネットワークやWebアプリの手前に設置し、通信内容を確認するソフトウェアです。Webアプリに脆弱性が見つかった場合も、攻撃の影響が及ぶ前に遮断できるのが特徴です。
また、WAFは一般的なファイアウォール(FW)やアンチウイルスでは防げない、Webアプリへの攻撃に対応しています。それらをまとめて採用することで、攻撃防御力がより向上します。
ただ、現在WAFは「シグネチャー方式」、つまり既知の脅威となる情報と突き合わせ、脆弱性が見つかってから遮断するタイプが主流です。これではゼロデイ攻撃に特化した対策はできません。
そのため、近年はひとつの遮断ルールを設定するだけで数百もの攻撃を遮断できる「ロジック方式」が注目されています。
まとめ
ひとたびゼロデイ攻撃を受けると、企業はセキュリティ上の甚大な影響を受けかねません。近年は検知数自体が増えたことや、ソフトウェアの複雑化、インターネットの常時接続などにより、その脅威は増大しつつあります。
そのため、ひとつのルールを設定するだけで、ゼロデイ攻撃への対策が数多く可能になる、ロジック方式のWAFの導入がおすすめです。とくにクラウド型の「Cloudbric WAF+」なら、社内に情報セキュリティの専門的なスキルを持った人材がいなくても手軽に利用できるうえ、必要なセキュリティ機能を一元的に活用できます。
関連記事:Cloudbric WAF+
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら