お問い合わせはこちら

ゼロデイ攻撃とは?事例や対策方法を解説

公開
更新

組織のセキュリティを脅かす数ある攻撃の中で、厄介なものの一つにゼロデイ攻撃があります。アプリなどの不具合が発見され修正を終わらせる「前」に、攻撃者は弱点を突いて悪事を働くからです。攻撃される理屈はわかりやすいですが、それをやられてしまうと打つ手はないように感じます。果たして防御者には対処方法があるのでしょうか。この記事では攻撃の事例と対策をまとめています。

対策完了前に狙われてしまうゼロデイ攻撃の手口とは

なぜ「ゼロデイ」と呼ばれているか

残念ながら永遠に完璧なソフトウェアはありません。膨大なプログラムとその組み合わせに、何らかの弱点(脆弱性)が発見されることは少なくないからです。あるソフトウェアが初めて世に出る前に、その開発者が全ての弱点を見つけ、対策ができていれば理想です。現実には、ソフトウェアが使われてから初めて弱点がわかることがあります。危険性や解決手段を販売元などが緊急に呼びかけ、ようやく状況が周知されます。

弱点を解決できた日を1日目(One-day)として起点にすると、それまでの時間は弱点が続いている状態で、これらの日々をゼロデイ(Zero-day)と呼んでいます。

ゼロデイ攻撃を分類する際の考え方

1種類の「ゼロデイ」という攻撃があるわけではありません。「ゼロデイ」という特別な期間を狙っているだけで、それ自体が攻撃の手法でもありません。むしろ他の攻撃方法を自由に組み合わせて、相手が弱い時に狙う一つの技と考えることができます。この点で、防御者は打つ手がないと感じる所以です。

なぜゼロデイ攻撃の被害に遭うのか

防御者にとって、痛いところ(タイミング)を徹底的に突かれるからです。物理的な場所やソフトウェアの欠陥自体を攻撃の対象にしているのではなく、改善中という時間の猶予に対してです。「今は具合が悪いので来ないで」とはいきません。

むしろ、ここぞとばかりに攻撃者は手を尽くして試してきます。その攻撃の対象や方法には、大きく分けて以下の二通りあります。

  1. ばらまき型
    同時に不特定多数に対してメール送信などを行い、正規のWebサイトになりすました偽のWebサイトへ誘導するなど
  2. 標的型
    攻撃の対象を限定し、怪しまれないような業務関連のメールを装い、ウイルス付きメールを送信しシステムに侵入するなど

たとえ防御者が一つの弱点を補強しても、また別の弱点が見つかる見込みがあれば、攻撃者は同じようなタイミングで再び突いてきます。「いたちごっこ」と揶揄されがちですが、当事者である組織の防御者にとってどこに脅威があるのでしょうか。

組織にとってゼロデイ攻撃が脅威になる理由

攻撃前後で以下のように異なります。

まだ攻撃されていないとき

  • 本来不要のはずの予算を計上し、セキュリティ対策を継続しなければならない
  • 組織の担当者はずっと待機し、ひとたび防御策が発表されたら、すぐに対応しなければならない
  • 終わりのない対策をずっとやり続ける強迫観念にとらわれ、疲労が蓄積する

万一攻撃されたとき

  • 原因を特定しゼロデイ攻撃とわかったとしても、即効性のある対処がしづらく、再発を心配しなければならない
  • 重要情報の漏えいにより顧客からの信頼は低下し、これまで築き上げてきたブランドや信用が一気に失墜する可能性がある
  • 組織の機密情報が公になり、利害関係者に金銭的な被害が及ぶ可能性がある
  • 一時的でも事業を停止すれば組織の収益は低下し、修復まで事業経営に影響が出る場合がある
  • 対応部署の従業員だけでなく、組織内で本来の業務が停滞し、従業員のストレスとなり事業の円滑な運営の妨げになる

ゼロデイ攻撃の事例

対策を考えるため、まずはこれまで発生した典型的な攻撃内容を把握することが近道と考えます。

①Apache Log4jライブラリの脆弱性

発生年2021年
発見された脆弱性Apache Log4j2ログ出力ライブラリの複数のバージョン(2.0-beta 9 から2.14.1.)
怖さのポイント・Log4jは、Javaベースのロギングライブラリで、業務向けソフトウェアに大量に導入され、影響する範囲が広大
・リモートでコードの実行が可能になる
解決方法Log4jライブラリの早期バージョンアップ(2.16.0)
備考(2021年12月末時点の情報をもとにまとめています)

②MicrosoftおよびOffice 365の脆弱性

発生年2021年
発見された脆弱性WebブラウザInternet Explorerのレンダリングエンジン「MSHTML」
怖さのポイント・リモートからWindows10などで任意のコードが実行される
・Office 365のファイルを使い標的型攻撃が可能
解決方法・信頼できない人から送付された添付ファイルは開かない
・Office 365で作成したファイルを「保護ビュー」にて開く場合、「編集を有効にする」をクリックしない
・ActiveXの無効
備考2022年6月15日にInternet Explorerのサポートは正式に終了(公式ページ

③Firefoxの脆弱性

発生年 2019年
発見された脆弱性 Webブラウザ
怖さのポイント ・Webブラウザの単なる脆弱さにとどまらず、米仮想通貨取引所(CoinBase)でマルウェアが検出され影響が広がった
・関係者になりすました標的型攻撃メールとの組み合わせ
解決方法 開発元のMozillaが修正プログラムを配布

④Adobe Flash Playerの脆弱性

発生年2015年
発見された脆弱性ページの閲覧だけで DoS 攻撃や任意のコードを実行されるなど
怖さのポイント・フィッシング攻撃やマルウェアと組み合わせた攻撃
・フィッシング攻撃に使われるメールの内容が本物と酷似し、偽物と見抜きにくい
解決方法ソフトウェア提供元のアドビシステムズ社が修正プログラムを配布
備考・その後2018年にもゼロデイ脆弱性が発見されている
・2020年12月31日にAdobe Flash Playerのサポートは正式に終了(公式ページ

⑤シェルショック(Shellshock)脆弱性

発生年 2014年
発見された脆弱性 LinuxのBash(操作時に使用するシェルスクリプトの一つ)
怖さのポイント Linuxサーバー自体を遠隔操作されることで、サーバーへの不正侵入を許し、重要なデータが盗まれる可能性がある
解決方法 ・修正プログラムの配布
・警視庁による注意喚起(日本)

ゼロデイ攻撃と関連しよく耳にするマルウェアについて、カゴヤのサーバー研究室では以下の記事で詳しく解説しています。

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

マルウェアに感染して個人情報が流出した…などニュースでは聞いたことがあっても、どんな危険性があり、どう対策すればいいか分からない方も多いと思います。 企業で言えば、業務で使っている従業員各々のPCが狙われやすく、ここからネットワークを通じて基幹システムのサーバーや他PCに感染し、拡大していく危険性があります。 こちらの記事では、あらためてマルウェアについて概要と対策をまとめています。とくに対策では…

ゼロデイ攻撃にいかに備えるか

2021年12月末時点で「ゼロデイ攻撃」にピンポイントに対処する手法は見当たらないため、マルウェア対策など一般的で包括的に対処するのが賢明なやり方と考えます。やはり弱い期間に特化した対策が望ましいと考えます。以下要点をまとめています。

攻撃者の作戦を参考にする

多くの場合、複数の手法を組み合わせて仕掛けてくるゼロデイ攻撃には、防御側も同じ考え方で対抗すると効果的と考えます。たとえ一つが破られても他で守られるような防御方法を、幾重にも用意するのが有効ではないでしょうか。例えば以下のような対策の組み合わせです。

  1. マルウェア対策
  2. IDS・IPS(不正侵入検知・防御)機能

カゴヤのサーバー研究室では、情報セキュリティ対策について以下のような記事を公開し、概要や対策をわかりやすく解説しています。

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

マルウェアに感染して個人情報が流出した…などニュースでは聞いたことがあっても、どんな危険性があり、どう対策すればいいか分からない方も多いと思います。 企業で言えば、業務で使っている従業員各々のPCが狙われやすく、ここからネットワークを通じて基幹システムのサーバーや他PCに感染し、拡大していく危険性があります。 こちらの記事では、あらためてマルウェアについて概要と対策をまとめています。とくに対策では…

IDS・IPSとは?不正侵入検知・防御サービス解説

IDS・IPSとは?不正侵入検知・防御サービス解説

IDS・IPSとは、ネットワークにおいて不正侵入を検知・防御するシステムです。ネットワークのセキュリティを守るソフトウェアや機器としてはファイアウォールがよく知られていますが、IDS・IPSではファイアウォールでは実現できない対策が可能となっています。 この記事では、IDS・IPSの概要やそれぞれの役割について、イラストを用いてわかりやすく解説しています。 IDS・IPSとは?仕組みと違い ここで…

サンドボックス(sandbox)環境を用意して検証する

隔離された「砂場」という空間に不正なプログラムを閉じ込め、未知の攻撃内容の分析を行うことができます。全能ではありませんが、セキュリテイ関連ソフトに含まれている機能を利用すれば、比較的簡単に導入できます。たとえば「ノートン 360」のような製品を利用すれば、より早く低予算で実現可能です。

EDR(Endpoint Detection and Response)を活用する

攻撃を受けたことを知らせ、被害を抑える目的で使われているソフトウェアです。パソコンなどの端末(エンドポイント)に入れて挙動を監視し、防御の効果を高めます。膨大なログを解析する際に、監査ログの考え方で監視しています。監査ログについてカゴヤのサーバー研究室では、以下の記事で詳しく解説しています。

監査ログとは?理解すればこんなに安心!

監査ログとは?理解すればこんなに安心!

組織の情報システム担当者は、その稼働中に問題があれば、収集した情報をもとに分析し対処しています。その際に確認する情報が、ログ(記録)といわれるファイルです。ログには多くの種類があります。「監査ログ」の目的や仕組みは何でしょうか。セキュリティ対策を効率的に進める手段としても活用できます。 監査ログとは? ログ(記録)とは? パソコンやサーバーなどを操作すると、操作した内容が記録として残ります。例えば…

ゼロデイ攻撃は専門家に相談し総合的なセキュリティ対策を進めましょう

公開された修正プログラムをできる限り早く適用するためにも、情報セキュリティ全般について情報の収集と理解は大切です。対策の作業を効率的に進め効果が出るよう、対応マニュアルの策定と運用も必須です。難解な情報を分析し、即座に活用するには限界があります。事業内容により高度な情報セキュリティ対策を実施する際、専門業者に業務を委託することも検討すべきと考えます。

究極の選択はLAN線を抜いてサーバーの電源を切り、提供しているサービスを一時停止することですが、そうしないで解決できる準備は大切です。