〝むくげ〟です！

情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威2022」で、組織部門では新たに「修正プログラムの公開前を狙う攻撃」（ゼロデイ攻撃）が7位にランクインしました。

「情報セキュリティ10大脅威 2022」とは、

2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

※情報処理推進機構（IPA）のサイトより引用

そこで、今回はサイバー攻撃の手法の一つである『ゼロデイ攻撃』について、概要や攻撃に対する対策等をご紹介出来ればと思います。

「ゼロデイ攻撃」とは

日々、様々なアプリケーションやOSが進化していく中で、脆弱性の発生を防ぐことは不可能に近い状況となっている現代において、脆弱性に対し対策側と攻撃側でいたちごっこを繰り広げている状態です。そのような中で、OSやアプリケーションに脆弱性が発見された時に、その脆弱性が公表され修正のためのアップデートが配布された日を「ワンデイ」とし、それよりも前の「ゼロデイ」に発見された脆弱性をつく攻撃を「ゼロデイ攻撃」と言います。脆弱性が発見されたらできるだけ早く、アップデートを行う必要があるのですが、それよりも前に攻撃されてしまうため、被害が拡大する可能性があるとても危険性の高い攻撃です。

増加傾向にある「ゼロデイ攻撃」

アプリケーションやOSにある脆弱性を、攻撃者が最初に発見してしまった場合や、ベンダーにる修正アップデートの提供前に、脆弱性が公表されてしまった場合、その脆弱性を対象とした攻撃を受けてしまうリスクが生じてしまいます。このような状況は攻撃者にとっては大きなチャンスとなります。また、非合法な情報やマルウェアなどが取引されているダークウェブでは、まだ発見されていない脆弱性などが高価で取引されています。
その為、今後増々「ゼロデイ攻撃」の脅威が増加していくことが予想されます。

過去に起きた事例

これまでに発生した大規模なゼロデイ攻撃の代表的な事例をまとめてみました。

2014年9月のシェルショック脆弱性事件

Linuxなどで使われているシェル「Bash」の脆弱性を突いたゼロデイ攻撃。
Bashは多くのサーバーの運営管理に使われており、影響は大きく、IPAから緊急告知がおこなわれました。日本国内でも遠隔操作被害などが相次ぎ、警察署が監視し報告書を公開するなど、大きな事件となりました。

2015年1月のAdobe Flash Playerの脆弱性を突いたゼロデイ攻撃

Adobe Flash Playerには以前から脆弱性があると言われていました。2015年1月13日、Adobeがそれまでにわかっていた脆弱性を修正したバージョンをリリース。しかし、そのバージョンにも致命的な脆弱性がふたつ発見され、それを修正するバージョンリリースは2月6日となってしまいました。その間に脆弱性を突いたゼロデイ攻撃活動も確認されました。

2019年6月のFirefoxの脆弱性を突いたゼロデイ攻撃

2019年6月17日、米国の暗号資産取引所Coinbaseがサイバー攻撃に遭遇しました。
この攻撃は、大学関係者になりすました標的型攻撃メールとWebブラウザーFirefoxの脆弱性を突いたゼロデイ攻撃の組み合わせによるものでした。Coinbaseの対応が迅速だったこともあり、実害は生じなかったものの、Webブラウザーの脆弱性が大きなセキュリティホールとなり得ることを改めて示した形となる事件でした。

上記事例以外にも2017年4月のMS Office/WordPadの脆弱性を突いたゼロデイ攻撃や2021年12月に発生した「Apache Log4j」のゼロデイ脆弱性など、未知の脆弱性を狙うゼロデイ攻撃は増加し続ける傾向にあります。

ゼロデイ攻撃への対策

まだ修正されていない脆弱性を突いた攻撃となるゼロデイ攻撃は、根本的な対策は難しいとされています。そのため、以下に記載するような対策を講じることで、攻撃を受けない為の対策に合わせて、ゼロデイ攻撃を受けてしまった場合に焦点を置いた、被害の低減あるいは被害回避の可能性を高めることがポイントとなります。

ベンダーから提供される対応策を把握する体制とすみやかな適用

アプリケーションやOSのベンダーからは、脆弱性の修正アップデートの提供前に、被害の低減、回避するための対策が公開されることがあります。見逃しによる被害が発生しないよう、常に情報収集を欠かさず、対応策が発表されていた場合は、速やかに適用することが大切です。

ネットの入口対策で、感染を防ぐ

ファイアウォールを設置して不正な通信をブロックしたり、未確認の添付ファイルなどを実行したときに異常な動きがないかを分析することができるサンドボックスを設置することで、ネットの入り口で可能な限りのセキュリティ対策することが重要です。

多層防御で未知のマルウェアに対処する

IDS/IPS（不正侵入検知・侵入防御システム）によるネットワーク監視や、機密情報をサーバーへ隔離する、ファイルの暗号化など、防御態勢を複数準備することで、ゼロデイ攻撃によって侵入してきたマルウェアが、機密情報に到達する確率を下げることができます。また、動作を許可したアプリケーション以外は、起動や実行ができないように制限するホワイトリスト型のセキュリティツールを導入することも有効な対策となります。

ネットの入り口対策(ファイヤーウォール)やIDS/IPS（不正侵入検知・侵入防御システム）を一つのシステムで運用できるUTMというソリューションもあります。UTMに関してまとめた記事もあるので、詳細を知りたい方はこちらもご参照してみて下さい。

企業のセキュリティ対策に効果的なUTM｜機能と特徴、導入の効果について

EDRの導入

エンドポイントのセキュリティソリューションの一つで、EDRはサイバー攻撃を受けてしまったときに、その被害を最小限に食い止めるためのセキュリティソリューションとなります。保護・防護に重点を置いたEPPではなく、検出・探知・応答・対応に重きを置いているEDRを導入することで、攻撃を受けてしまった時の対応や復旧を迅速に行うことができるようになります。EDRによってゼロデイ攻撃などのセキュリティ侵害をいち早く検知・可視化することにより、マルウェア感染後の対応の迅速化による被害の最小化につなげることが期待できます。

最後に

ゼロデイ攻撃は脆弱性と攻撃者が存在する限り、なくなることはない脅威と言えると思います。防御側の私たちにとって大切になってくることは『保護・防護』だけではなく、侵入後の『検出・探知・応答・対応』にも重点を置き速やかに回復できる体制があるかとうことになります。このようなインシデントレスポンスの考え方は大企業を中心に浸透しつつありますがサプライチェーン攻撃などの影響でサイバー攻撃のターゲットとなりつつある中小企業も一歩踏み込んだ対策をとることが重要になってきています。

弊社では、ひとり情シス救済/ネットワークセキュリティ/IT-BCP運用/ITプロジェクト支援など、専門知識をもったスタッフがあなたの企業のIT 社員として、時間単位で業務を請け負う、コーポレートエンジニア事業(スマート社員(旧:コアスタッフ))としてIT人材の準委任型契約タイムシェアサービスを提供しています。

専門知識を持つ私たちが解決のお手伝いをさせていただきますので、お気軽にご相談くださいませ。