Written by 田村 彩乃
目 次
ゼロデイ攻撃(Zero-Day Attack) とは、まだ世間に公開されていない・あるいは開発者やベンダー側も認識できていない、アプリケーションやソフトウェアに潜む脆弱性(セキュリティ上の欠陥や弱点)を悪用し、脆弱性が解消される前のわずかな隙をついて、不正アクセスやマルウェア感染などを仕掛けるサイバー攻撃の手口です。
「脆弱性に対する修正プログラムが配布される前」の短い期間が狙われるため、 セキュリティの強固な大企業や組織であっても対策が難しく、攻撃が成功しやすいという特性があります。
また、ゼロデイ攻撃で利用される脆弱性を「ゼロデイ脆弱性」と呼び、近年猛威を振るう「サプライチェーン攻撃」でも、しばしばゼロデイ脆弱性が悪用されています。
未然に防ぐことが難しいゼロデイ攻撃ですので、企業・組織が取るべき対策は、万が一ゼロデイ攻撃を受けた場合のリスクを最小限にとどめることです。「OSやソフトウェアを常に最新の状態にする」ことは勿論、アンチウィルス・EDR・ネットワーク監視セキュリティ(NDRなど)のソリューションの活用が有効です。
この記事では、企業・組織を脅かす「ゼロデイ攻撃」の詳細や実際の被害事例、取り組むべき対策などについてわかるやすく解説いたします。
▼この記事を要約すると
- ゼロデイ攻撃とは、アプリやソフトウェアの脆弱性をメーカーが発見し、対策を打つ前にその弱点に付け込んで、不正アクセスなどのサイバー攻撃を仕掛ける手口
- ゼロデイ攻撃は対策が確立する前の無防備な期間に攻撃をしかけるため、セキュリティの強固な企業・組織でも被害に遭う可能性がある
- ゼロデイ攻撃のターゲットとなる主なプログラムは、「OS」「Webブラウザ」「業務向けソフトウェア」の3つ
- ゼロデイ攻撃を仕掛ける手口としては、「マルウェアを添付したメール」「改ざんされたWebサイト」などがある
- ゼロデイ攻撃を防ぐためには、日頃からOSやアプリケーションのアップデートを徹底するとともに、新種のマルウェアを検知できるアンチウイルスソフトの導入やEDR製品の導入が重要
また、ゼロデイ攻撃の手法として良く用いられる「マルウェア感染時に気を付けたいNGアクション」をまとめた、お役立ち資料もぜひご活用ください。
ゼロデイ攻撃とは?
ゼロデイ攻撃とは、システムやソフトウェアに残存する「ゼロデイ脆弱性」を悪用する、サイバー攻撃の手口です。
はじめに、ゼロデイ脆弱性とは何かを簡単に説明します。
ゼロデイ脆弱性とは
そもそも脆弱性とは、プログラムの不具合や設計上のミスが原因で発生する、システムやアプリに残存する「セキュリティ上の欠陥・弱点」を指します。
脆弱性が発見された場合、アプリやソフトウェアの提供者・開発者側が修正プログラムをリリースし、それを適用することで脆弱性が解消されます。
このうち、存在が公表されていないもの、修正プログラムがリリースされていないもの、開発者側がまだ認識できていないものが「ゼロデイ脆弱性」にあたります。
修正プログラムの配布日を「1日目」とした場合、修正プログラムの配布前は「0日目(=0day)」に該当することから、通常の脆弱性と区別し「ゼロデイ脆弱性」と呼ばれています。
改めてゼロデイ攻撃とは
ゼロデイ攻撃とは、修正プログラムがリリースされる前のていない未知の脆弱性(=ゼロデイ脆弱性)を突いて、不正アクセスなどのサイバー攻撃を仕掛ける手口のことです。
ゼロデイ攻撃では、開発者側やメーカーが脆弱性を発見し、セキュリティパッチを配布適用するまでの、わずかな時間を狙って、が狙われます。脆弱性を悪用した攻撃が行われます。
具体例
・ゼロデイ脆弱性:あるソフトウェアに、開発者側がまだ発見していない「バッファオーバーフロー」の脆弱性が残存
・ゼロデイ攻撃:攻撃者はこの脆弱性を利用し、開発者側が修正プログラムを配布する前に、システムをマルウェアに感染させて機密情報を窃取する
また、ゼロデイ攻撃のターゲットとなる主なプログラムとしては、以下が挙げられます。
・OS(例:Linux、Windows、Mac OS など)
・Webブラウザ(例:GoogleCrome、Firefox など)
・業務向けソフトウェア(例:Microsoft 365、 Adobe Acrobat など)
・メッセージアプリケーション(例:Slack、Outkook など)
・ネットワーク機器(例:VPNなど)
これらプログラムには「脆弱性を含む可能性」があり、上記サービスを利用するユーザーを対象に、ゼロデイ攻撃が仕掛けられる可能性があります。
ゼロデイ攻撃とNデイ攻撃の違い
ゼロデイ攻撃と似ている攻撃として「Nデイ攻撃」が挙げられます。
Nデイ攻撃もセキュリティパッチを適用していない期間を狙って攻撃を仕掛けます。
しかし、ゼロデイ攻撃と大きく違うのは、Nデイ攻撃の場合は、すでにセキュリティパッチが公開されている脆弱性に対して、攻撃が行われるという点です。
下の図のように、ゼロデイ攻撃は脆弱性を発見してから、パッチが適用されるまでの期間が狙われます。
対してNデイ攻撃はパッチは公開されているものの、まだ適用されていない期間が狙われるのです。
▼ゼロデイ攻撃とNデイ攻撃の比較
このパッチ公開後、どのくらいの期間で修正プログラムが適用されるかは、企業やユーザーそれぞれで変わってくるため、「Nデイ攻撃」と呼ばれています。
ゼロデイ攻撃の特徴とその危険性
情報処理推進機構(IPA)の発表した「情報セキュリティ10大脅威 2024」を見ると、ゼロデイ攻撃は前年より一つ順位を上げ、5位にランクインしています。
▼情報セキュリティ10大脅威 2024(組織編)
| 順位 | 脅威の内容 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位 |
| 3位 | 内部不正による情報漏えい | 4位 |
| 4位 | 標的型攻撃による機密情報の窃取 | 3位 |
| 5位 | 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) |
6位 |
| 6位 | 不注意による情報漏えい等の被害 | 9位 |
| 7位 | 脆弱性対策の公開に伴う悪用増加 | 8位 |
| 8位 | ビジネスメール詐欺による金銭被害 | 7位 |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5位 |
| 10位 | 犯罪のビジネス化 (アンダーグラウンドサービス) |
10位 |
出典:IPA│情報セキュリティ10大脅威 2024(2024年1月24日)
ゼロデイ攻撃が、近年ここまで危険視されている理由は、ゼロデイ攻撃に以下のような特徴があるためです。
- 1.攻撃の成功率が非常に高い
- 2.攻撃には未知のマルウェアが使われる
ゼロデイ攻撃は、「脆弱性が存在するのに、セキュリティパッチを適用できない期間」を狙ってきます。そのため、セキュリティの強固な企業や組織であっても、攻撃が成功しやすくなってしまうのです。
また、従来型のアンチウイルスソフトは「パターンファイル」と呼ばれる過去に発見されたマルウェアの型を参考に、マルウェアを検知する仕組みを採用しています。しかし、ゼロデイ攻撃では常に「(過去に検知されていない)新種のマルウェア」が用いられるため、パターンマッチング式のアンチウイルスソフトでは、防ぎきることができません。
このように、根本的な対策を講じるのが難しいため、ゼロデイ攻撃は非常に厄介なサイバー攻撃といえます。
ゼロデイ攻撃の仕組みと基本的な流れ
「ゼロデイ攻撃が行われる基本的な流れ」は以下の通りです。
1.攻撃者がOSやソフトウェアの「脆弱性」を発見する
2.脆弱性を突いて攻撃を仕掛けるため、攻撃者は「エクスプロイト※1」と呼ばれる不正なプログラムを開発する
3.完成した「エクスプロイト」を用いて、OSやWebブラウザ・業務向けソフトウェアなどに攻撃を仕掛ける
4.攻撃したシステムに侵入し、機密情報の窃取やマルウェアのばらまきなどの不正攻撃を行う
5.再侵入を可能にするために、不正アクセス用の「バックドア※2」と呼ばれるプログラムを、攻撃対象のシステム内に設置する
6.メーカーが脆弱性を発見し、セキュリティパッチを開発・リリースする
※1「エクスプロイト」…ソフトウェアやOSの脆弱性を利用し、不正な操作を実行させようとする攻撃・あるいはプログロムのこと。
※2「バックドア」…攻撃者がシステム侵入後、いつでも侵入を繰り返せるよう、攻撃者の用意した外部のサーバーへ内部から通信を行うプログラム。裏口(バックドア)という由来。
ゼロデイ攻撃においては、攻撃者がOSやソフトウェアにおける脆弱性を発見した時点からリスクが発生します。OSやソフトウェアの提供元となるメーカーも、この時点では脆弱性を認識していないため、全くの無防備な状態に置かれてしまいます。
脆弱性を確認した攻撃者は、攻撃用の「エクスプロイト」と呼ばれる不正なプログラムを開発した後、メールやWebサイトなどを通してプログラムを送り込み、攻撃を実行。ターゲットのシステム内に侵入した攻撃者は、機密情報を盗む・マルウェアをばらまくなどのアクションを行います。
この時、攻撃者が仕掛けるのが「バックドア」と呼ばれる不正プログラムです。バックドアを仕掛けることで、攻撃者はシステム内を自由に出入りしたり、情報を盗み見たりすることが可能となります。
その後、脆弱性を発見したOSやアプリケーションの開発元が修正パッチを開発・配布しますが、「ゼロデイ攻撃」ではすでに攻撃者が侵入を終えた後となってしまいます。
繰り返しとなりますが、ゼロデイ攻撃の対策として「早急なセキュリティパッチの適用」は必須事項であるものの、確実な対策とは言い切れません。着実にゼロデイ攻撃を防ぐためには、パッチ適用までの期間もサイバー攻撃からデバイスを保護する、優秀なセキュリティソリューションの導入やその他のセキュリティ対策を、合わせて検討する必要があるでしょう。
ゼロデイ攻撃の手口
ゼロデイ攻撃の主な手口は
・脆弱性を突いて、マルウェアに感染させる
・脆弱性を突いて、不正アクセスを行う
の2パターンです。そして、マルウェア感染や不正アクセスを行う手段として「メール」「Webサイト」「ネットワークへの直接的な攻撃」などが挙げられます。
1.攻撃メールを使った手口
ターゲットを騙すために、送信元をクライアントや大手企業に偽ったメールを送信。「マルウェア」を含む添付ファイルを送信したり、偽サイトへのURLを記載して誘導したりして、感染させます。
攻撃メールには、特定の組織や企業を狙う「標的型攻撃」と、不特定多数の企業・組織にメールを送る「ばらまき型」の2パターンがあります。
2.Webサイトを使った手口
Webサイトの脆弱性を突いて改ざんし、悪意のあるコードを埋め込むことで、サイト運用者の意図しないスクリプトを実行させる手口です。
改ざんすることで、訪問によってPCにマルウェアを自動ダウンロードさせたり、訪問者の個人情報を盗み取ったり、という不正行為を行います。
3.ドキュメントファイルを用いた手口
攻撃者はWord、PDFファイル、Excelなどに、マクロやスクリプトなど悪意のあるコードを埋め込み、開封させることでゼロデイ攻撃を仕掛ける手口です。
受信者がファイルを開くことで、攻撃用のコードが実行されマルウェアがダウンロードされたり、情報が窃取されたりします。ファイルはメール・SMS等で主に配布されます。
4.VPNの脆弱性を悪用する手口
在宅勤務やテレワークが一般化した昨今、自宅や社外から安全にネットワークを構築する手段として「VPNの活用」が普及する一方、その脆弱性を悪用する攻撃も増加しています。
例えば、VPNの脆弱性を悪用されることで、ネットワークやシステムへ不正侵入され、認証情報や機密情報が窃取されるケースがあります。
さらに、ネットワークやシステムへ侵入後、ランサムウェアをはじめとしたマルウェアを展開される危険性も考えられます。
実際、警察庁によれば、「ランサムウェア攻撃の感染経路」としてVPN機器の脆弱性を悪用したものが最も多く、全体の63%を占めていたことが報告されています。
▼ランサムウェア攻撃の主な感染経路
出典:警察庁|令和5年におけるサイバー空間をめぐる脅威の情勢等について(令和6年3月14日)
VPNへの不正アクセス対策については、以下の記事でもまとめています。
ゼロデイ攻撃を受けた場合の被害
ゼロデイ攻撃を受けた場合、以下のような被害が想定されます。
マルウェア感染
セキュリティホールを修正できないと、マルウェアに感染させられる恐れがあります。
マルウェアに感染した場合
・情報漏洩
・金銭的損失
・システム・サービスの停止
・サイバー攻撃の踏み台に利用される
といった被害が発生するでしょう。
特にランサムウェアに感染した場合、端末やシステムがロックされてしまい、その解除と引き換えに多額の身代金を要求されることがあります。
他にも、ボットウイルスに感染すると、感染端末は攻撃者によって自由に遠隔操作が可能になり、サイバー攻撃の踏み台として利用されてしまいます。
不正アクセス
セキュリティホールを悪用して、攻撃者が不正アクセスを行う危険性があります。
もし、システムに不正に侵入された場合
・情報漏洩
・システムの乗っ取り
・データの改ざん・破壊
などの被害が想定されます。
不正アクセスによって顧客情報や取引先情報などが漏洩した場合、社会的信用の低下にもつながるでしょう。
関連ページ【国内】最新のゼロデイ攻撃の被害事例
ゼロデイ攻撃を悪用した、不正アクセス事件、情報漏洩事件は、2023年現在でも後を絶ちません。
ここでは近年、日本国内で発生した「ゼロデイ攻撃」の被害事例をご紹介します。
1.NISC・気象庁の使用するメール関連機器へのゼロデイ攻撃事例(2023年)
2022年~2023年にかけて、内閣サイバーセキュリティセンター(NISC)と気象庁の使用するメール関連システム・機器にて、脆弱性を悪用したサイバー攻撃が発見された事例です。
原因は、メーカー側が把握をしていなかった「メールシステムの脆弱性」を狙った「ゼロデイ攻撃」であり、NISCでは約5,000件の個人情報を含む、メール出たが流出した可能性を示唆。両機関では同一のメール関連システムを利用していました。
内閣サイバーセキュリティセンター(NISC)での ”個人情報漏洩の可能性のある事案” が初めてであることもあり、注目度の高い事件であったと言えます。
両機関は速やかに、不正通信被害にあったとされるメール機器の交換を実施し、再発防止策の実施を進めているとのことです。
参考:NISC|内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023年8月4日)
参考:気象庁|気象庁及び気象研究所のメール関連機器に対する不正通信の発生について(2023年8月4日)
2.大手電機メーカーにて、ウイルス対策システムを狙ったゼロデイ攻撃事例(2020年)
2020年6月、国内の大手電機メーカーにて、第三者の不正アクセスによる情報漏洩被害が発生した事件です。
同社の利用するウイルス対策システムに対し、セキュリティパッチ公開前の脆弱性を狙った「ゼロデイ攻撃」により、内部へと不正に侵入。従業員情報4,566名や採用応募者1,987名の個人情報、また技術資料や営業資料などの企業機密が、外部へ流出した可能性に問われました。
また、ファイルを特定するための「操作ログ」が攻撃者によって消去されたことで、通常より多くの調査期間が要する事件となりました。
企業は、漏洩した機密情報に関与する顧客への早期対応と、再発防止策の取り組みを報告しています。
このように、本来強固なセキュリティ対策が行われている政府機関や大手企業においても、ゼロデイ攻撃の被害が発生しています。
次章では企業・組織が取り組むべき、ゼロデイ攻撃への基本的なセキュリティ対策について、ご紹介します。
ゼロデイ攻撃を防ぐための4つの対策
ゼロデイ攻撃を防ぐための具体的な対策として、次の4つが挙げられます。
1.OS/アプリのアップデートし、常に最新の状態に
2.未知のマルウェアを検知するアンチウイルスソフトの導入
3.ネットワークセキュリティ製品を導入する
4.エンドポイント侵入後に備え、EDR製品を導入する
ここでは、上記の4つの対策について詳しく解説します。
1.OS/アプリのアップデートし、常に最新の状態に
ゼロデイ攻撃に対する最も基本的な対策として、使用しているパソコン・サーバー等のOSやアプリケーションの定期アップデートを行い、常に最新の状態にすることを心がけましょう。
アップデートを適用せず放置すれば脆弱性が解消されないままになり、ゼロデイ攻撃を問わず、サイバー攻撃の標的となります。
メーカーから提供される最新のアップデート情報・パッチ情報の有無を定期的に確認し、案内があれば速やかに適用しましょう。情シスなど組織の担当者は「管理ツール」等を使用し、組織内端末のアップデートやパッチ適用の有無を、管理・把握することが重要です。
2.未知のマルウェアを検知するアンチウイルスソフトの導入
ゼロデイの対策として、未知のマルウェアも検知できる、高機能なアンチウイルスソフトを導入することも有効です。
理由としては、前述のように「従来のアンチウイルスソフト」で用いられるパターンマッチング型式では、まだ他で発見されていない未知のマルウェアを検知できないリスクがあるためです。ゼロデイで使われるマルウェアの多くは、この”未知のマルウェア”に該当します。
その点、AIや振る舞い検知、などの技術を活用した「パターンマッチングに頼らないアンチウイルスソフト」であれば、マルウェアの未知・既知に関係なく、あらゆるマルウェアの侵入を検知し、不正アクセスを防ぐことが可能です。
仮に、マルウェアを含むファイルの開封、Webサイト訪問をしてしまった場合も、PCやシステムのマルウェア感染を防ぐことができます。
3.ネットワークセキュリティ製品を導入する
ネットワーク外からの不正アクセスを防ぐ「ファイアウォール」や、ネットワーク内への不正アクセスを検知する「IDS」、検知し防御まで行う「IPS」などの製品を活用することも有効です。
また、ネットワーク内外を問わず攻撃者の不審な挙動を検知し、効率的に不正アクセスを防ぐ仕組みとして「NDR」というセキュリティも注目を集めています。
これらネットワークセキュリティを導入することで、ゼロデイ攻撃による「脆弱性」を突いた不正アクセスを、速やかに検知、防御や対策を行えるためです。先述した「VPNを狙った不正アクセス」なども、NDRやIDS/IPSなどの製品で検知できます。
4.エンドポイント侵入後に備え、EDR製品を導入する
万が一、ゼロデイにより「マルウェア攻撃」を受けてしまった場合に備えて、EDRを導入することも欠かせない対策でしょう。EDRとは「Endpoint Detection and Response」の略称であり、エンドポイント監視のセキュリティソリューションを指します。
アンチウイルス(ウイルス対策ソフト)が、PCやスマートフォンへの「マルウェアの侵入を防ぐ」セキュリティであるなら、EDRは「侵入してしまったマルウェアを検知し、駆除や隔離を行う」ためのセキュリティです。
そのため、もしゼロデイ攻撃によってマルウェアがPCやサーバー内部へ感染してしまった後でも、EDRで侵入したマルウェアを検知し、隔離や駆除といった対処を取ることが可能。被害の深刻化を、いち早く食い止めることができるのです。
アンチウイルス(EPP)とEDRを、セットで運用することは、ゼロデイ攻撃のマルウェア対策として非常に強力な手段となります。
ゼロデイ攻撃を受けた場合の対処法
ゼロデイ攻撃を受けてしまった場合は、以下の対処を行うようにしましょう。
・ネットワークを遮断する
・セキュリティ担当者に報告する
・ウイルススキャンを行う
ネットワークを遮断する
ゼロデイ攻撃を受けたことに気付いたら、直ちに攻撃を受けたデバイスをネットワークから遮断しましょう。
これにより、ネットワークを通してほかの端末に侵入されたり、マルウェアを送り込まれたりすることを防ぐことができます。
セキュリティ担当者に報告する
ゼロデイ攻撃を受けしまった場合、必ずセキュリティ担当者に状況を報告しましょう。
このとき、「攻撃が発覚した経緯」や「攻撃を受ける直前にどのような操作を行っていたのか」などをできる限り詳しく伝えることが望ましいです。
ウイルススキャンを行う
ゼロデイ攻撃によって、マルウェアに感染してしまうこともあるので、ウイルススキャンを行い、検知された場合は駆除しましょう。
万が一端末にマルウェアが残っていると、ネットワークに接続した際に感染を拡げてしまいます。
ゼロデイ攻撃対策なら、未知のマルウェアを検知するLANSCOPE サイバープロテクションがおすすめ
「LANSCOPE サイバープロテクション」では、ゼロデイ攻撃に使用される”未知のマルウェア”をも検知・対策可能な、業界最高峰のアンチウイルス・EDRを提供しています。
・アンチウイルス×EDRを提供可能な「CylancePROTECT(サイランスプロテクト)× CylanceOPTICS(オプティクス)」
・安価かつ未知のマルウェアも検知する「Deep Instinct(ディープインスティンクト)」
2種類のアンチウイルスについて、特長と導入メリットをご紹介します。
アンチウイルス×EDR をセットで導入するなら「CylancePROTECT」&「CylanceOPTICS」
先述の通り、マルウェア対策は「アンチウイルス」と「EDR」を掛け合わせることで、より強固なセキュリティ体制を確立できます。
・アンチウイルスとEDRをセットで導入したい
そんな方におすすめしたいのが、アンチウイルス「CylancePROTECT」です。オプションとして手ごろな価格でEDR「CylanceOPTICS」を付属できるため、簡単にEPPとEDRをセットにした運用を開始できます。
AI機械学習による、パターンマッチング型に頼らないマルウェア検知で、ゼロデイ攻撃や最新のサイバー攻撃にも安心して備えることが可能です。
安価かつ未知のマルウェアも検知する「 Deep Instinct(ディープインスティンクト)」
・手頃な価格でも、強力なアンチウイルスを導入したい
そんな方であれば、AIの”ディープラーニング機能”により、未知のマルウェアもブロック可能な、最新のアンチウイルス「Deep Instinct」がおすすめです。
「次世代アンチウイルス」と言われるNGAVに該当するソリューションであり、安価な価格帯ながら、ゼロデイ攻撃に用いられる最新のマルウェアもAIの学習機能で検知。
また、攻撃者は検知を逃れるため、実行ファイルだけでなくExcelやPDF、zipなど、多様な形式のマルウェアを生み出します。しかし ファイル形式を問わず対処する Deep Instinctであれば、これらのマルウェアも高い精度で検知・防御が可能です。
まとめ
「ゼロデイ攻撃」の意味や手口、具体的な対策などについて解説しました。
▼本記事のまとめ
- ゼロデイ攻撃とはソフトウェアやOSの脆弱性をメーカーが発見し、対策を打つ前に、その「脆弱性」を悪用し、不正アクセスなどのサイバー攻撃を仕掛ける手口
- ゼロデイ攻撃の被害リスクとして、情報漏洩やWebサイトの改ざん等がある
- ゼロデイ攻撃はメールやWebサイトなど、さまざまな手段を使って行われる
- ゼロデイ攻撃の対策として、最新の状態へのアップデートはもちろん、未知のマルウェアを検知する「アンチウイルス」「EDR」の導入も不可欠
セキュリティパッチ開発までの”わずかな期間”を狙う「ゼロデイ攻撃」は、今や情報セキュリティ10大脅威にも選出されるほど、全ての企業・組織が対策せざるを得ない脅威です。
本記事が「ゼロデイ攻撃」の理解と、対策を行うきっかけとなれば幸いです。
また、ゼロデイ攻撃の手法として良く用いられる「マルウェア感染時に気を付けたいNGアクション」をまとめた、お役立ち資料もぜひご活用ください。
おすすめ記事
