近年、サイバー攻撃は私たちの日常生活において避けられない脅威となっています。
サイバー攻撃の増加には、国際的な犯罪組織がこの活動をビジネスとして成り立たせている現実が背景にあります。ソフトウェアの脆弱性は、ダークウェブ上で高値取引されることもあり、サイバー攻撃はもはや特別な技術を持つ者だけのものではなくなっています。
その中でも企業にとって厄介なリスクが「ゼロデイ攻撃」です。
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから、その脆弱性を修正するパッチが公開されるまでの間に行われる攻撃を指します。この期間は「ゼロデイ」と呼ばれ、攻撃者はまだ知られていない弱点を突いてきます。
ゼロデイ攻撃は、企業の防御策をすり抜ける可能性が高く、どれだけ最新のセキュリティ対策を施していても、完全に防ぐことは困難です。
このような状況下で、企業はセキュリティ対策をIT部門だけの問題として捉えるのではなく、経営全体の課題として取り組む必要があります。
サイバー攻撃による被害は、情報漏洩や生産ラインの停止、顧客の信頼喪失、さらには企業の存続に関わる重大な問題です。
ゼロデイ攻撃の概念を理解するために、日常生活の例を考えてみましょう。
あなたの家のドアの鍵に設計上の欠陥があったとします。泥棒がその欠陥を見つけ、誰にも気づかれずに鍵を開ける方法を発見した場合、ハウスメーカーがその欠陥を修正するまでの間、あなたの家は無防備です。
この無防備な期間を狙って侵入するのがゼロデイ攻撃です。 サイバーセキュリティの世界では、この「鍵の欠陥」がソフトウェアの脆弱性にあたります。そして、泥棒が「攻撃者」、ハウスメーカーが「ソフトウェアメーカー」、新しい鍵が「修正プログラム」です。
「ゼロデイ」とは、弱点が世に知られる前、つまり開発会社が修正プログラムを配布する前の状態を指します。攻撃者は、まだ知られていない弱点を利用して侵入し、情報を盗んだり、システムを破壊したりします。
ゼロデイ攻撃が厄介な理由
防御策が無効
従来のウイルス対策ソフトは、既知の脅威に対しては効果的ですが、ゼロデイ攻撃に使われる新種のウイルスには対応できません。
例えば、NortonやMcAfeeなどの従来型アンチウイルスソフトは、既知のマルウェアのシグネチャをデータベースに基づいて検出しますが、ゼロデイ攻撃で使用される未知のマルウェアにはそのシグネチャが存在しないため、検出が困難です。このため、攻撃者は防御策が無効な状態を利用して侵入し、情報を盗んだり、システムを破壊したりすることができます。
誰もが標的に
ゼロデイ攻撃は特定のOSや広く使われているソフトウェアの脆弱性を狙うため、企業の規模に関係なく被害を受ける可能性があります。特に中小企業は、セキュリティ対策が甘いことから狙われやすいです。
2021年に発生した「Microsoft Exchange Server」への攻撃は、サイバーセキュリティの脅威を象徴する事例の一つです。当時、大多数の企業に導入されていたこのメールシステムに、攻撃者は4つの未知の脆弱性を組み合わせて侵入しました。これにより、企業のメール内容が盗まれたり、さらなる攻撃のための不正なアクセス手段が確立されたりしました。
攻撃は、感染症研究所、法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、NGOなど、さまざまな組織に対して行われ、Microsoftが緊急の修正プログラムを発表した時点で、すでに被害を受けた企業の数は、数千に上るとされています。
この攻撃は、企業が使用する重要なシステムに対する脆弱性がどのように悪用されるかを示す重要な例となりました。(※1)
ゼロデイ攻撃では、攻撃者はまずターゲットの情報を収集し、脆弱性を突くための攻撃ツールを準備します。次に、なりすましメールや悪意のあるリンクを使ってターゲットに罠を仕掛け、侵入を試みます。
侵入後は社内ネットワークを探索し、権限を拡大していきます。最終的には、情報の窃取やシステムの破壊を行います。
ゼロデイ攻撃の種類
ゼロデイ攻撃は主に以下の2つの種類に分類されます。
ばらまき型攻撃
概要:不特定多数のユーザーを対象にした攻撃です。攻撃者は、広範囲にわたってマルウェアを配布し、個人情報の窃取やシステムの乗っ取りを狙います。
手法:フィッシングメールや悪意のあるウェブサイトを通じて、ユーザーが不正なファイルをダウンロードするよう仕向けます。例えば、実在する企業や金融機関を装ったフィッシングサイトがあり、ユーザーがログイン情報やクレジットカード情報を入力するよう誘導されます。これらのサイトは、見た目が本物そっくりに作られているため、ユーザーは騙されやすいです。
標的型攻撃
概要:特定の組織や個人を狙った攻撃で、明確な目的を持って段階的に攻撃が行われます。企業に対する嫌がらせや金銭要求が目的となることが多いです。
手法:攻撃者がターゲットの心理的な隙を突いて、機密情報を引き出すソーシャルエンジニアリングを用いて、ターゲットの信頼を得た上でマルウェアを仕込む手法が一般的です。
例えば、攻撃者がITサポートを装って電話をかけ、パスワードを尋ねることがあります。このように、ターゲットの信頼を得ることで、情報を自発的に提供させることが狙いです。
ゼロデイ攻撃の手段
ゼロデイ攻撃には、以下のような具体的な手段が存在します。
マルウェアの配布
攻撃者は、マルウェアを含むファイルをメールに添付したり、悪意のあるリンクをクリックさせたりして、ユーザーのデバイスに感染させます。
リモートコード実行
脆弱性を利用して、攻撃者がリモートからコードを実行し、システムに不正アクセスする手法です。これにより、データの盗取やシステムの制御が可能になります。
SQLインジェクション
データベースに対する攻撃手法で、悪意のあるSQLコードを挿入することで、データの漏洩や改ざんを引き起こします。
バッファオーバーフロー
プログラムのメモリに不正なデータを送り込むことで、システムをクラッシュさせたり、悪意のあるコードを実行させたりする手法です。
企業や個人は、これらのゼロデイ攻撃の手段を知り、攻撃に対する防御策を講じることが重要です。
過去のゼロデイ攻撃の実例をご紹介します。これらの事件は、サイバーセキュリティの重要性を再認識させるものであり、基本的なセキュリティ対策を怠ることがいかに危険であるかを示しています。
ゼロデイ攻撃の実例
Stuxnet(2010年)
ゼロデイ攻撃の代表的な事例として知られているのが、2009〜2010年に確認された「Stuxnet(スタクスネット)」です。
Stuxnetはイランの核開発を妨害する目的で作られたとされる高度なマルウェアで、複数のゼロデイ脆弱性を組み合わせて攻撃を実行しました。注目されたのは、インターネットに接続されていない産業用制御システムがUSBメモリ経由で感染し、従来の「物理的隔離=安全」という前提を覆した点です。
このマルウェアはSiemens社のSCADAシステムに潜入し、遠心分離機の回転数をわずかに変動させることで物理的破壊を引き起こしました。標的を極めて限定する精巧さや攻撃コードの高度さから、背後に国家規模の組織が関与していたと推測されています。
Stuxnetの発覚は、産業インフラがサイバー空間の脅威にさらされ得ることを世界に示す契機となりました。この事件以降、重要インフラ分野におけるセキュリティ対策の必要性が一段と認識され、企業にとっても制御システムの防御を再考する重要なきっかけとなりました。(※2)
Log4Shell(2021年)
2021年末に発見された「Log4Shell」は、近年でも最悪級といわれるゼロデイ脆弱性でした。影響を受けたのは、Webアプリから組み込み機器まで幅広く利用されるJavaライブラリ「Log4j」。攻撃者はログに特定の文字列を紛れ込ませるだけで、サーバ側で任意のコードを実行できる状態となり、世界中で攻撃が急増しました。一部のサイトでは、1時間あたり数千万件の攻撃試行が観測されるほどでした。
多くの企業は年末の緊急対応を余儀なくされ、停止が困難なシステムではWAFによる“仮想パッチ”で防御。攻撃者が検知回避のために手口を変化させる中、WAFの継続的なルール調整やSecurity Operation Center(SOC)との連携が被害防止に大きく貢献しました。Log4Shellは、ゼロデイ攻撃がいかに迅速かつ大規模に広がるかを示した象徴的な事例といえます。(※3)
ゼロデイ攻撃に対する備えは、以下の3つのステップで考えると効果的です。
【予防】侵入を防ぐための対策を講じる
ソフトウェアの定期的なアップデート
OSやアプリケーションを常に最新のバージョンに保つことで、既知の脆弱性を修正し、攻撃のリスクを低減します。自動更新機能を利用することも有効です。
高機能なアンチウイルスソフトの導入
従来のウイルス対策ソフトでは未知のマルウェアを検知できないため、行動分析やAIを活用した高機能なアンチウイルスソフトを導入することが重要です。
脆弱性診断の実施
定期的に脆弱性診断を行い、システムの弱点を特定し、対策を講じることが必要です。これにより、攻撃者が利用できる隙を減らします。
アプリケーション隔離
ブラウザやメール添付ファイルを安全な仮想環境上で動作させることで、万が一ゼロデイ攻撃が含まれていても端末本体への影響を防ぐ仕組みです。
SCSK Minoriソリューションズのアプリケーション隔離ソリューションはこちら
【検知】侵入された場合に早期に気づくための仕組みを整える
EDR(エンドポイント検出と応答)の導入
EDRソリューションを使用して、エンドポイントの異常な挙動を監視し、迅速に対応できる体制を整えます。これにより、攻撃が発生した際に早期に検知し、被害を最小限に抑えることができます。
ネットワーク監視の強化
ネットワークトラフィックをリアルタイムで監視し、不審な活動を検出するためのシステムを導入します。異常なデータ通信やユーザーの行動を追跡することで、早期の警告を得ることが可能です。
ディープラーニングの導入
独自のディープラーニングモデルにより未知のマルウェアを実行前に高精度で判定するエンドポイントセキュリティです。ゼロデイ攻撃に対しても早期のブロックを可能にします。
SCSK Minoriソリューションズのディープラーニングソリューションはこちら
【対応・復旧】被害を最小限に抑え、迅速に事業を立て直すための準備をする
インシデント対応計画の策定
ゼロデイ攻撃が発生した場合の対応手順を事前に策定し、定期的に訓練を行います。これにより、実際の攻撃時に迅速かつ効果的に対応できるようになります。
バックアップの確保
重要なデータは定期的にバックアップを取り、ランサムウェア攻撃などによるデータ損失に備えます。バックアップデータは、攻撃を受けた際の復旧に役立ちます。
脅威インテリジェンスの活用
最新の脅威情報を収集し、組織のセキュリティ対策を常に更新することで、攻撃のリスクを軽減します。脅威インテリジェンスを活用することで、攻撃者の手法や動向を把握し、事前に対策を講じることが可能です。
これらの具体策を実施することで、ゼロデイ攻撃に対する備えを強化し、企業のセキュリティを向上させることができます。
ゼロデイ攻撃に対抗するためには、技術的な対策だけでなく、全社員の意識と行動が重要です。セキュリティを企業全体の責任として捉え、報告しやすい文化を育むことが、見えない脅威に対する最も確かな備えとなります。
セキュリティ意識の向上
全社員がセキュリティに対する意識を高めることが、ゼロデイ攻撃に対する最初の防御線となります。定期的なセキュリティ研修を実施し、最新の攻撃手法や不審な兆候の見分け方を学ぶ機会を提供することが重要です。例えば、フィッシングメールの見分け方や、怪しいリンクをクリックしないための注意点を具体的に教えることで、社員一人ひとりが自らの行動に責任を持つようになります。
報告しやすい文化の醸成
セキュリティインシデントが発生した際に、社員が迅速に報告できる環境を整えることも重要です。インシデント発生時の報告手順を文書化し全社員に周知するなど、報告先や必要な情報を明確にすることで、迅速な対応が可能になります。
組織全体での情報共有
情報の共有は、組織全体のセキュリティを強化するための鍵です。定期的なミーティングや社内SNSを活用して、セキュリティに関する情報を共有することが重要です。例えば、最近の攻撃事例や対策を共有することで、全社員が最新の情報を把握し、意識を高めることができます。
定期的な訓練とシミュレーション
実際のインシデントに備えるために、定期的な訓練やシミュレーションを行うことが重要です。例えば、ゼロデイ攻撃を想定した模擬訓練を実施し、社員がどのように対応すべきかを体験することで、実際のインシデント発生時に冷静に行動できるようになります。
ゼロデイ攻撃は、企業にとって避けられないリスクです。しかし、適切な対策を講じることで、被害を最小限に抑えることが可能です。企業は、サイバーセキュリティを経営の重要課題として捉え、全社的に取り組む姿勢が求められます。
SCSK Minoriソリューションズでは、さまざまなセキュリティソリューションを取り扱っており、企業のニーズに応じた最適な対策を提供しています。セキュリティに関するお悩みやご相談がございましたら、ぜひお気軽にお問い合わせください。
※1 出典:https://gblogs.cisco.com/jp/2021/03/talos-threat-advisory-hafnium-and-microsoft/
※2 出典:https://eset-info.canon-its.jp/malware_info/trend/detail/160308.html
※3 出典:https://www.itmedia.co.jp/news/articles/2204/20/news021.html
