Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目 次
ゼロデイ攻撃とは、どういったサイバー攻撃か?
なぜ、ゼロデイ攻撃はこれほど危険視されているのか?
ゼロデイ攻撃が行われる基本的な流れ
ゼロデイ攻撃を仕掛ける、様々な手口の例
【国内】最新のゼロデイ攻撃の被害事例
ゼロデイ攻撃を防ぐための4つの対策
ゼロデイ攻撃対策なら、未知のマルウェアを検知するLANSCOPE サイバープロテクションがおすすめ
まとめ
ゼロデイ攻撃とは、アプリケーションやソフトウェアの脆弱性(セキュリティ面の欠陥)をメーカーが発見して対策を打つ前に、その脆弱性に付け込んで、不正アクセスやマルウェア感染などのサイバー攻撃を仕掛ける、サイバー攻撃手法のことです。
「脆弱性が存在するのに、セキュリティパッチを適用できない期間」を狙って攻撃を仕掛けられるため、セキュリティの強固な企業や組織であっても、攻撃が成功しやすいという特性があります。
ゼロデイ攻撃によってシステム内に侵入されてしまった場合
・機密情報が盗まれる
・マルウェアに感染する
・コンピュータが乗っ取られる
といった被害が発生します。
2024年現在もゼロデイ攻撃は猛威をふるい続けており、ゼロデイ攻撃を想定したセキュリティ対策の実施は、全企業・組織において必須の課題と言えるでしょう。
▼この記事を要約すると
- ゼロデイ攻撃とは、アプリやソフトウェアの脆弱性をメーカーが発見し、対策を打つ前にその弱点に付け込んで、不正アクセスなどのサイバー攻撃を仕掛ける手口
- ゼロデイ攻撃は対策が確立する前の無防備な期間に攻撃をしかけるため、セキュリティの強固な企業・組織でも被害に遭う可能性がある
- ゼロデイ攻撃のターゲットとなる主なプログラムは、「OS」「Webブラウザ」「業務向けソフトウェア」の3つ
- ゼロデイ攻撃を仕掛ける手口としては、「マルウェアを添付したメール」「改ざんされたWebサイト」などがある
- ゼロデイ攻撃を防ぐためには、日頃からOSやアプリケーションのアップデートを徹底するとともに、新種のマルウェアを検知できるアンチウイルスソフトの導入やEDR製品の導入が重要
ゼロデイ攻撃の手法や被害事例・対策について理解を深めたい方は、ぜひご一読ください。
また、ゼロデイ攻撃の手法として良く用いられる「マルウェア感染時に気を付けたいNGアクション」をまとめた、お役立ち資料もぜひご活用ください。
ゼロデイ攻撃とは、どういったサイバー攻撃か?
ゼロデイ攻撃とは、アプリやソフトウェアの「脆弱性」をメーカーが発見し、対策を打つ前にその弱点に付け込んで、不正アクセスなどのサイバー攻撃を仕掛ける手口のことです。
「脆弱性」とはプログラム上の「弱点」を指す言葉で、プログラムの設計ミスや不具合によって生じる欠陥を意味します。
脆弱性の発見からパッチ適用を行うまでの、僅かな時間を狙って攻撃することから、1日未満で仕掛ける攻撃=”ゼロデイ(0day)”という名称で呼ばれています。
情報処理推進機構(IPA)の発表した「情報セキュリティ10大脅威 2024」を見ると、ゼロデイ攻撃は前年より一つ順位を上げ、5位にランクインしています。
▼情報セキュリティ10大脅威 2024(組織編)
| 順位 | 脅威の内容 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位 |
| 3位 | 内部不正による情報漏えい | 4位 |
| 4位 | 標的型攻撃による機密情報の窃取 | 3位 |
| 5位 | 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) |
6位 |
| 6位 | 不注意による情報漏えい等の被害 | 9位 |
| 7位 | 脆弱性対策の公開に伴う悪用増加 | 8位 |
| 8位 | ビジネスメール詐欺による金銭被害 | 7位 |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5位 |
| 10位 | 犯罪のビジネス化 (アンダーグラウンドサービス) |
10位 |
出典:IPA│情報セキュリティ10大脅威 2024(2024年1月24日)
この順位からも、「ゼロデイ攻撃」に対する脅威としての注目度の高さがうかがえます。私たちの使用する全てのアプリケーションやソフトウェアは「ゼロデイ攻撃」のリスクを備えているため、すべての企業・組織は、改めてゼロデイ攻撃のリスクを認識し対策を打つ必要があります。
なぜ、ゼロデイ攻撃はこれほど危険視されているのか?
ゼロデイ攻撃が、近年ここまで危険視されている理由は、主に以下の2点です。
1.メーカーが開発する修正パッチの公開前に脆弱性を突いて攻撃されるため、定期的にアップデートを適用していても攻撃を防ぎきれない場合があるから
2.従来のアンチウイルスソフトは、過去に発見された脅威と照合して防御を行う「パターンマッチング型」のため、ゼロデイ攻撃に使われる「未知のマルウェア」に対策できないケースがあるから
まず、ゼロデイ攻撃の厄介な点は「対策が確立する前に攻撃が行われる」という点です。
例えば、アプリケーションの脆弱性が発見されると、開発元のメーカーは脆弱性を解消するためのパッチ(修正プログラム)を作成します。パッチの作成期間は脆弱性の影響範囲や難易度によって異なりますが、通常「脆弱性の発見から開発まで」に数日~数週間、長い時は数か月を要することもあります。
ゼロデイ攻撃は、この「脆弱性が存在するのに、セキュリティパッチを適用できない期間」を狙って仕掛けられるため、セキュリティの強固な企業や組織であっても、攻撃が成功しやすいという特性があります。
また、従来型のウイルス対策ソフトは「パターンファイル」と呼ばれる過去に発見されたマルウェアの型を参考に、マルウェアを検知する仕組みを採用しています。しかし、ゼロデイ攻撃では常に「(過去に検知されていない)新種のマルウェア」が用いられるため、パターンマッチング式の対策ソフトでは、防ぎきることができません。
ゼロデイ攻撃に対抗するためには、速やかなパッチ適用やアップデートを行うことは勿論、新種のマルウェアも検知できるソフトウェアの導入や、その他の基本的なセキュリティ対策を日頃から行うなど、総合的に強固なセキュリティ体制を構築することが欠かせないでしょう。
具体的な対策内容については、「ゼロデイ攻撃を防ぐための4つの対策」からご覧ください。
ゼロデイ攻撃のターゲットとなる主なプログラム
ゼロデイ攻撃のターゲットとなる主なプログラムには、以下のような例が該当します。
・OS(例:Linux、Windows、Mac OS など)
・Webブラウザ(例:GoogleCrome、Firefox など)
・業務向けソフトウェア(例:Microsoft 365、 Adobe Acrobat など)
・メッセージアプリケーション(例:Slack、Outkook など)
・ネットワーク機器(例:VPNなど)
これらプログラムには「脆弱性を含む可能性」があり、上記サービスを利用するユーザーを対象に、ゼロデイ攻撃が仕掛けられる可能性があります。
また攻撃者の中には、特定のターゲットが使用しているOSやソフトウェアをあらかじめ調査し、それらサービスに焦点を絞って脆弱性を狙うケースも存在します。
各サービスの提供者が脆弱性への対策を講じるのは勿論、個々の企業・組織は「常にゼロデイ攻撃のリスクがあること」を念頭に、対策を強化することが重要です。
ゼロデイ攻撃が行われる基本的な流れ
「ゼロデイ攻撃が行われる基本的な流れ」は以下の通りです。
1.攻撃者がOSやソフトウェアの「脆弱性」を発見する
2.脆弱性を突いて攻撃を仕掛けるため、攻撃者は「エクスプロイト※1」と呼ばれる不正なプログラムを開発する
3.完成した「エクスプロイト」を用いて、OSやWebブラウザ・業務向けソフトウェアなどに攻撃を仕掛ける
4.攻撃したシステムに侵入し、機密情報の窃取やマルウェアのばらまきなどの不正攻撃を行う
5.再侵入を可能にするために、不正アクセス用の「バックドア※2」と呼ばれるプログラムを、攻撃対象のシステム内に設置する
6.メーカーが脆弱性を発見し、修正パッチを開発・リリースする
※1「エクスプロイト」…ソフトウェアやOSの脆弱性を利用し、不正な操作を実行させようとする攻撃・あるいはプログロムのこと。
※2「バックドア」…攻撃者がシステム侵入後、いつでも侵入を繰り返せるよう、攻撃者の用意した外部のサーバーへ内部から通信を行うプログラム。裏口(バックドア)という由来。
ゼロデイ攻撃においては、攻撃者がOSやソフトウェアにおける脆弱性を発見した時点からリスクが発生します。OSやソフトウェアの提供元となるメーカーも、この時点では脆弱性を認識していないため、全くの無防備な状態に置かれてしまいます。
脆弱性を確認した攻撃者は、攻撃用の「エクスプロイト」と呼ばれる不正なプログラムを開発した後、メールやWebサイトなどを通してプログラムを送り込み、攻撃を実行。ターゲットのシステム内に侵入した攻撃者は、機密情報を盗む・マルウェアをばらまくなどのアクションを行います。
この時、攻撃者が仕掛けるのが「バックドア」と呼ばれる不正プログラムです。バックドアを仕掛けることで、攻撃者はシステム内を自由に出入りしたり、情報を盗み見たりすることが可能となります。
その後、脆弱性を発見したOSやアプリケーションの開発元が修正パッチを開発・配布しますが、「ゼロデイ攻撃」ではすでに攻撃者が侵入を終えた後となってしまいます。
繰り返しとなりますが、ゼロデイ攻撃の対策として「早急なセキュリティパッチの適用」は必須事項であるものの、確実な対策とは言い切れません。着実にゼロデイ攻撃を防ぐためには、パッチ適用までの期間もサイバー攻撃からデバイスを保護する、優秀なセキュリティソリューションの導入やその他のセキュリティ対策を、合わせて検討する必要があるでしょう。
ゼロデイ攻撃を仕掛ける、様々な手口の例
ゼロデイ攻撃の主な手口は
・脆弱性を突いて、マルウェアに感染させる
・脆弱性を突いて、不正アクセスを行う
の2パターンです。そして、マルウェア感染や不正アクセスを行う手段として「メール」「Webサイト」「ネットワークへの直接的な攻撃」などが挙げられます。
1.攻撃メールを使った手口
ターゲットを騙すために、送信元をクライアントや大手企業に偽ったメールを送信。「マルウェア」を含む添付ファイルを送信したり、偽サイトへのURLを記載して誘導したりして、感染させます。
攻撃メールには、特定の組織や企業を狙う「標的型攻撃」と、不特定多数の企業・組織にメールを送る「ばらまき型」の2パターンがあります。
2.Webサイトを使った手口
Webサイトの脆弱性を突いて改ざんし、悪意のあるコードを埋め込むことで、サイト運用者の意図しないスクリプトを実行させる手口です。
改ざんすることで、訪問によってPCにマルウェアを自動ダウンロードさせたり、訪問者の個人情報を盗み取ったり、という不正行為を行います。
3.ドキュメントファイルを用いた手口
攻撃者はWord、PDFファイル、Excelなどに、マクロやスクリプトなど悪意のあるコードを埋め込み、開封させることでゼロデイ攻撃を仕掛ける手口です。
受信者がファイルを開くことで、攻撃用のコードが実行されマルウェアがダウンロードされたり、情報が窃取されたりします。ファイルはメール・SMS等で主に配布されます。
4.VPNの脆弱性を悪用する手口
VPN機器の脆弱性を突いて、不正アクセスを行う手口も近年増加しています。
在宅勤務やテレワークが一般化した昨今、自宅や社外から安全にネットワークを構築する手段として「VPNの活用」が普及する一方、その脆弱性を悪用する攻撃も増加しています。
実際、警察庁によれば、令和4年「ランサムウェア攻撃の感染経路」としてはVPN機器の脆弱性を悪用したものが最も多く、全体の62%を占めていたことが報告されています。
▼ランサムウェア攻撃の主な感染経路
出典:警察庁|令和4年におけるサイバー空間をめぐる脅威の情勢等について(令和5年3月16日)
VPNへの不正アクセス対策については、以下のコラムでもまとめています。
【国内】最新のゼロデイ攻撃の被害事例
ゼロデイ攻撃を悪用した、不正アクセス事件、情報漏洩事件は、2023年現在でも後を絶ちません。
ここでは近年、日本国内で発生した「ゼロデイ攻撃」の被害事例をご紹介します。
1.NISC・気象庁の使用するメール関連機器へのゼロデイ攻撃事例(2023年)
2022年~2023年にかけて、内閣サイバーセキュリティセンター(NISC)と気象庁の使用するメール関連システム・機器にて、脆弱性を悪用したサイバー攻撃が発見された事例です。
原因は、メーカー側が把握をしていなかった「メールシステムの脆弱性」を狙った「ゼロデイ攻撃」であり、NISCでは約5,000件の個人情報を含む、メール出たが流出した可能性を示唆。両機関では同一のメール関連システムを利用していました。
内閣サイバーセキュリティセンター(NISC)での ”個人情報漏洩の可能性のある事案” が初めてであることもあり、注目度の高い事件であったと言えます。
両機関は速やかに、不正通信被害にあったとされるメール機器の交換を実施し、再発防止策の実施を進めているとのことです。
参考:NISC|内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023年8月4日)
参考:気象庁|気象庁及び気象研究所のメール関連機器に対する不正通信の発生について(2023年8月4日)
2.大手電機メーカーにて、ウイルス対策システムを狙ったゼロデイ攻撃事例(2020年)
2020年6月、国内の大手電機メーカーにて、第三者の不正アクセスによる情報漏洩被害が発生した事件です。
同社の利用するウイルス対策システムに対し、セキュリティパッチ公開前の脆弱性を狙った「ゼロデイ攻撃」により、内部へと不正に侵入。従業員情報4,566名や採用応募者1,987名の個人情報、また技術資料や営業資料などの企業機密が、外部へ流出した可能性に問われました。
また、ファイルを特定するための「操作ログ」が攻撃者によって消去されたことで、通常より多くの調査期間が要する事件となりました。
企業は、漏洩した機密情報に関与する顧客への早期対応と、再発防止策の取り組みを報告しています。
このように、本来強固なセキュリティ対策が行われている政府機関や大手企業においても、ゼロデイ攻撃の被害が発生しています。
次章では企業・組織が取り組むべき、ゼロデイ攻撃への基本的なセキュリティ対策について、ご紹介します。
ゼロデイ攻撃を防ぐための4つの対策
ゼロデイ攻撃を防ぐための具体的な対策として、次の4つが挙げられます。
1.OS/アプリのアップデートし、常に最新の状態に
2.未知のマルウェアを検知するアンチウイルスソフトの導入
3.ネットワークセキュリティ製品を導入する
4.エンドポイント侵入後に備え、EDR製品を導入する
ここでは、上記の4つの対策について詳しく解説します。
1.OS/アプリのアップデートし、常に最新の状態に
ゼロデイ攻撃に対する最も基本的な対策として、使用しているパソコン・サーバー等のOSやアプリケーションの定期アップデートを行い、常に最新の状態にすることを心がけましょう。
アップデートを適用せず放置すれば脆弱性が解消されないままになり、ゼロデイ攻撃を問わず、サイバー攻撃の標的となります。
メーカーから提供される最新のアップデート情報・パッチ情報の有無を定期的に確認し、案内があれば速やかに適用しましょう。情シスなど組織の担当者は「管理ツール」等を使用し、組織内端末のアップデートやパッチ適用の有無を、管理・把握することが重要です。
2.未知のマルウェアを検知するアンチウイルスソフトの導入
ゼロデイの対策として、未知のマルウェアも検知できる、高機能なアンチウイルスソフトを導入することも有効です。
理由としては、前述のように「従来のアンチウイルスソフト」で用いられるパターンマッチング型式では、まだ他で発見されていない未知のマルウェアを検知できないリスクがあるためです。ゼロデイで使われるマルウェアの多くは、この”未知のマルウェア”に該当します。
その点、AIや振る舞い検知、などの技術を活用した「パターンマッチングに頼らないアンチウイルスソフト」であれば、マルウェアの未知・既知に関係なく、あらゆるマルウェアの侵入を検知し、不正アクセスを防ぐことが可能です。
仮に、マルウェアを含むファイルの開封、Webサイト訪問をしてしまった場合も、PCやシステムのマルウェア感染を防ぐことができます。
3.ネットワークセキュリティ製品を導入する
ネットワーク外からの不正アクセスを防ぐ「ファイアウォール」や、ネットワーク内への不正悪性巣を検知する「IDS」、検知し防御まで行う「IPS」などの製品を活用することも有効です。
また、ネットワーク内外を問わず攻撃者の不審な挙動を検知し、効率的に不正アクセスを防ぐ仕組みとして「NDR」というセキュリティも注目を集めています。
これらネットワークセキュリティを導入することで、ゼロデイ攻撃による「脆弱性」を突いた不正アクセスを、速やかに検知、防御や対策を行えるためです。先述した「VPNを狙った不正アクセス」なども、NDRやIDS/IPSなどの製品で検知できます。
4.エンドポイント侵入後に備え、EDR製品を導入する
万が一、ゼロデイにより「マルウェア攻撃」を受けてしまった場合に備えて、EDRを導入することも欠かせない対策でしょう。EDRとは「Endpoint Detection and Response」の略称であり、エンドポイント監視のセキュリティソリューションを指します。
アンチウイルス(ウイルス対策ソフト)が、PCやスマートフォンへの「マルウェアの侵入を防ぐ」セキュリティであるなら、EDRは「侵入してしまったマルウェアを検知し、駆除や隔離を行う」ためのセキュリティです。
そのため、もしゼロデイ攻撃によってマルウェアがPCやサーバー内部へ感染してしまった後でも、EDRで侵入したマルウェアを検知し、隔離や駆除といった対処を取ることが可能。被害の深刻化を、いち早く食い止めることができるのです。
アンチウイルス(EPP)とEDRを、セットで運用することは、ゼロデイ攻撃のマルウェア対策として非常に強力な手段となります。
ゼロデイ攻撃対策なら、未知のマルウェアを検知するLANSCOPE サイバープロテクションがおすすめ
「LANSCOPE サイバープロテクション」では、ゼロデイ攻撃に使用される”未知のマルウェア”をも検知・対策可能な、業界最高峰のアンチウイルス・EDRを提供しています。
・アンチウイルス×EDRを提供可能な「CylancePROTECT(サイランスプロテクト)× CylanceOPTICS(オプティクス)」
・安価かつ未知のマルウェアも検知する「Deep Instinct(ディープインスティンクト)」
2種類のアンチウイルスについて、特長と導入メリットをご紹介します。
アンチウイルス×EDR をセットで導入するなら「CylancePROTECT」&「CylanceOPTICS」
先述の通り、マルウェア対策は「アンチウイルス」と「EDR」を掛け合わせることで、より強固なセキュリティ体制を確立できます。
・アンチウイルスとEDRをセットで導入したい
そんな方におすすめしたいのが、アンチウイルス「CylancePROTECT」です。オプションとして手ごろな価格でEDR「CylanceOPTICS」を付属できるため、簡単にEPPとEDRをセットにした運用を開始できます。
AI機械学習による、パターンマッチング型に頼らないマルウェア検知で、ゼロデイ攻撃や最新のサイバー攻撃にも安心して備えることが可能です。
安価かつ未知のマルウェアも検知する「 Deep Instinct(ディープインスティンクト)」
・手頃な価格でも、強力なアンチウイルスを導入したい
そんな方であれば、AIの”ディープラーニング機能”により、未知のマルウェアもブロック可能な、最新のアンチウイルス「Deep Instinct」がおすすめです。
「次世代アンチウイルス」と言われるNGAVに該当するソリューションであり、安価な価格帯ながら、ゼロデイ攻撃に用いられる最新のマルウェアもAIの学習機能で検知。
また、攻撃者は検知を逃れるため、実行ファイルだけでなくExcelやPDF、zipなど、多様な形式のマルウェアを生み出します。しかし ファイル形式を問わず対処する Deep Instinctであれば、これらのマルウェアも高い精度で検知・防御が可能です。
まとめ
「ゼロデイ攻撃」の意味や手口、具体的な対策などについて解説しました。
▼本記事のまとめ
- ゼロデイ攻撃とはソフトウェアやOSの脆弱性をメーカーが発見し、対策を打つ前に、その「脆弱性」を悪用し、不正アクセスなどのサイバー攻撃を仕掛ける手口
- ゼロデイ攻撃の被害リスクとして、情報漏洩やWebサイトの改ざん等がある
- ゼロデイ攻撃はメールやWebサイトなど、さまざまな手段を使って行われる
- ゼロデイ攻撃の対策として、最新の状態へのアップデートは勿論、未知のマルウェアを検知する「アンチウイルス」「EDR」の導入も不可欠
セキュリティパッチ開発までの”わずかな期間”を狙う「ゼロデイ攻撃」は、今や情報セキュリティ10大脅威にも選出されるほど、全ての企業・組織が対策せざるを得ない脅威です。
本記事が「ゼロデイ攻撃」の理解と、対策を行うきっかけとなれば幸いです。
また、ゼロデイ攻撃の手法として良く用いられる「マルウェア感染時に気を付けたいNGアクション」をまとめた、お役立ち資料もぜひご活用ください。
関連する記事
