ゼロデイ攻撃とは、ソフトウェアに新たに発見された脆弱性(セキュリティホール)に対して、問題の公表や修正プログラムが提供される前に行われるサイバー攻撃のことです。ゼロデイ攻撃は未知の脆弱性を突いてくるために、ウイルス対策ソフトでスキャンしても「異常なし」と判断されてしまいます。
本記事では、ゼロデイ攻撃の被害事例や最新動向、対策方法などについてご紹介します。
ページコンテンツ
ゼロデイ攻撃とは?
ゼロデイ攻撃の仕組みと特徴
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性(セキュリティホール)を突いたサイバー攻撃の一種です。
通常、新たな脆弱性(セキュリティホール)が発見されると、対策として問題の公表や修正プログラム、パッチの提供がされます。ゼロデイ攻撃は、脆弱性が発見されてから対策が行われるまでの間隙に行われる攻撃であるため、根本的な対策を講じることが難しく、大きな脅威となります。
プログラムによって脆弱性を解決できた日を1日目として、それより以前に攻撃が行われるため、「0日目=ゼロデイ」と呼ばれており、脆弱性発見から日数を空けない間に攻撃が行われることが名称の由来です。
※脆弱性(セキュリティホール)とは
外部からの攻撃に対する「弱点」。セキュリティの弱い抜け穴のこと。
ウイルス感染、システム侵入、乗っ取り、プログラムの書き換えなどの被害を受けやすい状態になる。開発途中のミスや、プログラムの不具合が、セキュリティホールが生まれる原因。
ゼロデイ攻撃は「0日目=ゼロデイ」を狙った攻撃全般を指しているため、特定の攻撃手法がある訳ではありません。しかし、脆弱性への対処法が構築される前に行われるため未然に防ぐことが難しく、攻撃に気付きにくい点が大きな特徴です。
IPA(情報処理推進機構)が2023年に発表した「情報セキュリティ10大脅威 2023」では、ゼロデイ攻撃は前年より1つ順位を上げ、6位にランクインしています。
▼情報セキュリティ10大脅威 2023(組織編)
| 順位 | 情報セキュリティの脅威 | 前年順位 |
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
ゼロデイ攻撃の種類
ゼロデイ攻撃の攻撃手法には、大きく分けて「標的型攻撃」と「ばらまき型攻撃」の2つがあります。
ばらまき型攻撃
ばらまき型攻撃は、不特定多数のユーザーへ攻撃を仕掛ける手法です。個人情報の窃取などを目的としています。
標的型攻撃
特定の組織などターゲットが決まっている攻撃です。企業に対する嫌がらせや金銭要求など、明確な目的を持ち段階を踏んで攻撃が仕掛けられるため、脆弱性への対策方法が公表されるころには、すでに被害が出ており、手遅れになってしまう可能性もあります。
続いてゼロデイ攻撃の手口について見ていきましょう。
ゼロデイ攻撃の手口
ゼロデイ攻撃の主な手口は、脆弱性を突いて「マルウェアに感染させる」か「不正アクセスを行う」の2パターンが挙げられます。
なお、マルウェアと不正アクセスはどちらもサイバー攻撃の一種です。サイバー攻撃の基本を確認しておきたい方は、以下の記事をご覧ください。
マルウェア感染
マルウェアとは、ウイルスソフトやスパイウェアなどの悪意のあるソフトウェアの総称です。不正プログラムとも呼ばれます。メールへの偽造ファイル添付やウェブサイトの改ざんを行い、有害なソフトウェアをダウンロードさせることで攻撃対象のネットワークに侵入します。
不正アクセス
不正アクセスとは、本来アクセス権限を持たない第三者が、サーバや情報システムの内部へ侵入を行う行為です。OSやアプリケーション、VPN機器の脆弱性を突いて侵入します。
ゼロデイ攻撃を受けやすいプログラム
ゼロデイ攻撃のターゲットになりやすいのは、「利用者が多い」「サポートが終了している」「脆弱性が多い」OS・アプリケーションです。そのため、大手企業が開発・提供するOS・アプリケーションも例外ではなく、脆弱性を突かれると、接続するパソコンまで危険が及ぶので注意が必要です。
代表例としては、次のようなものが挙げられます。
- OS:Linux、Windows、Mac OS など
- ブラウザ:GoogleCrome、Firefoxなど
- ソフトウェア:Microsoft 365、Adobe Acrobat、Slack、Outkookなど
上記のような、多くのユーザーが存在するWindows関連やブラウザ関連のOS、アプリケーションはゼロデイ攻撃の対象となりやすく、手口も年々巧妙化しています。また、テレワークが広まった近年はVPN機器が狙われた被害も多数報告されているため注意しましょう。
次章では、実際にゼロデイ攻撃を受けた場合の被害内容や影響について解説します。
ゼロデイ攻撃による被害の種類
「マルウェア感染」や「不正アクセス」によるゼロデイ攻撃の主な被害には、以下のようなものが考えられます。
情報漏えい
ゼロデイ攻撃の被害に遭うことで、顧客や従業員の個人情報、知的財産といった機密情報が漏えいする可能性があります。これらの重要な情報が漏えいすると、競合他社や悪意のある第三者によって悪用される可能性があります。
金銭的損失
意図的に情報を流出させた訳ではなかった場合でも、個人情報や企業の機密情報を流出させた場合は、取引先や顧客から損害賠償の請求を受け金銭損失が起こる可能性があります。これに加え、原因の調査やデータ復旧の費用、新たなセキュリティ対策にかかる費用などの事故対応費用が発生する可能性があります。
なお、操作の制御を奪い、復旧方法を教える代わりに身代金を要求するパターンもあり、この要求に応じることで損失を被る企業も少なくありません。
攻撃・被害の拡大
前述の通り、ゼロデイ攻撃の厄介な点は、攻撃されたことに速やかに気付き対策することが難しいところにあります。脆弱性の発見から対策がなされるまでの期間が長くなればなるほど、さらに攻撃を受けることとなり、被害が拡大してしまいます。
社会的信頼の喪失
ゼロデイ攻撃を受け情報漏えいといったセキュリティ上のトラブルが発生した場合、企業のブランドや信用が損なわれ、社会的なイメージの低下につながります。信用の回復までには時間を要するため、長期的にビジネスに悪影響を及ぼすことが考えられます。
サービス・業務停止
ゼロデイ攻撃によって、Webサイトやオンラインサービス、業務が停止させられるケースもあります。サービスのシステムが妨害され、正常に機能しなくなると、利用している企業は通常業務が中断されるため、生産性や顧客満足度の低下が引き起こされる可能性があります。
次章からは、実際に起きたゼロデイ攻撃による被害について見ていきましょう。
ゼロデイ攻撃の被害事例
近年、ゼロデイ攻撃の被害にあった事例は以下の通りです。
官公庁のメールシステムに対するゼロデイ攻撃
2022年から2023年にかけて、内閣サイバーセキュリティセンター(NISC)と気象庁の使用するメール関連システムで、未知の脆弱性を標的にしたサイバー攻撃が検知されました。この攻撃により、NISCから約5,000件の個人情報を含むメールが漏洩したことが示唆されています。両機関は同じメール関連システムを共有していました。
内閣サイバーセキュリティセンター(NISC)において、個人情報漏えいの可能性がある事案が初めて発生したことにより、大きな注目を集めました。
参考:NISC内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023年8月4日)
セキュリティ企業が被害を受けたゼロデイ攻撃
2022年9月には、ベトナムに拠点を置くセキュリティ企業が、監視対象としていた大手IT企業開発のグループウェアにおける、未修正の脆弱性を悪用するゼロデイ攻撃が発生していることを公表しました。発表時には既に攻撃が発生していたことから、速報とともに利用者に対する注意喚起が行われました。
参考:WARNING: NEW ATTACK CAMPAIGN UTILIZED A NEW 0-DAY RCE VULNERABILITY ON MICROSOFT EXCHANGE SERVER
ゼロデイ攻撃を受けてしまった場合の対処方法
もしもゼロデイ攻撃を受けてしまった場合、どのように対処すればよいのでしょうか。
前述の通り、ゼロデイ攻撃は未知の脆弱性を狙った攻撃であるため発見が遅れやすく、異変に気付いたとしても原因が分かりません。PCやサーバなどのデバイスの挙動がおかしくても、ウイルス対策ソフトでスキャンすると「異常なし」と判断されてしまいます。
そのため、異常が検知されなかったとしても「問題なし」と判断せず、デバイスを初期化するといった対応が求められます。個人情報が搾取されたと判断した場合は、調査に必要なログが消えてしまうため、デバイスの初期化はせずにネットワークから切り離して調査を行いましょう。
なお、こうした対処方法だけでなく、ゼロデイ攻撃を未然に防ぐための対策も非常に重要です。そこで次章では、ゼロデイ攻撃を防ぐための5つの対策方法をご紹介します。
ゼロデイ攻撃への対策方法
ゼロデイ攻撃を完璧に防ぐことは困難を極めますが、できるだけ攻撃を受けないようにするためには、以下のような対策を行うことが有効です。
OS・セキュリティソフトを最新の状態に保つ
今すぐ取り組める対策としては、OS・セキュリティソフトを最新の状態に保つことが挙げられます。
OSやソフトウェアの提供元は、脅威やセキュリティ上の脆弱性が発見されるとその脆弱性を解消するために随時修正し、バージョンアップを行っています。システムのバージョンアップではバグへの対策や、脆弱性を受けての修正など、セキュリティ対策に有効な内容が含まれています。
そのため、脆弱性を突くサイバー攻撃への対策として、定期的なアップデートは非常に重要です。
重要情報の暗号化と隔離を行う
完全に防ぐことが困難なゼロデイ攻撃に備えるには、攻撃を防ぎきれなかった場合を想定し、重要情報の暗号化と隔離を行いましょう。
例えば、流出が許されないデータは基本的に隔離された領域で保管します。また、ゼロデイ攻撃の影響を受けそうな領域にデータを保存せざるを得ない場合は、必ずデータの暗号化を行いましょう。
サンドボックスを利用する
サンドボックスとは、コンピュータ上に設けられた仮想環境です。ユーザーが通常利用する領域から完全に切り離されているため、不審なファイルを開いてもサンドボックスの外には影響が出ません。
サンドボックスを利用すれば、通常利用する領域に影響を与えず、怪しいプログラムを実行して動作を検証できるため、従来のセキュリティ対策製品では検知できない未知のマルウェアの検出にも役立ちます。
従業員を教育する
従業員のセキュリティ意識を高めるよう教育することも重要です。セキュリティ侵害の最前線に位置しているのは従業員であるため、セキュリティベストプラクティスの教育や定期的なセキュリティ訓練を行いましょう。そうすることで、万が一攻撃を受けたとしても適切に対処できるようになります。
未知の脆弱性への攻撃を遮断できるセキュリティソフトを導入する
ゼロデイ攻撃の脅威から守るには、未知の脆弱性への攻撃を遮断可能なセキュリティソフトの導入も効果的です。具体的には、EDR製品が挙げられます。
EDR製品とは、エンドポイント(ネットワークの末端にあたる機器)において、マルウェアの検知を行うソフトウェアです。デバイス内での不正な動作を検知した後に、攻撃遮断を行います。
しかし、EDR製品で可能となるのは、マルウェアをはじめとする脅威の被害を最小限に留めることであり、マルウェアの感染自体を「防御」することはできません。
そこでおすすめなのが、侵入されても感染させないOSプロテクト型セキュリティです。
OSプロテクト型セキュリティでは、過去の情報に基づくパターンマッチングでの脅威の検知ではなく、「OSの正常な動作のみを許可する」仕組みによって感染を防ぎます。未知のマルウェアにも対応しているため、侵入されても感染させない対策が可能です。
ゼロデイ攻撃や未知の脅威への対策は「AppGuard」にお任せ
本記事で説明したセキュリティ対策を行っていても、未知の脆弱性を狙ったゼロデイ攻撃を完全に防ぐことは難しいといえます。
そこで大興電子通信では、さらなる強固なセキュリティ対策方法として、エンドポイントセキュリティ「AppGuard」を提供しています。不正な動作をシャットアウトするため、未知の脆弱性を狙ったゼロデイ攻撃にも対応することが可能です。「AppGuardについては以下でご紹介していますので、ぜひご覧ください。
![サイバーセキュリティ基本まるごと解説入門](https://www.daikodenshi.jp/daiko-plus/wp-content/uploads/2023/09/8_セキュリティ_サイバーセキュリティ基本まるごと解説.png")
