ゼロデイ攻撃とは 具体的な事例からわかる危険性と4つの対策方法
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性(セキュリティホール)に対する修正プログラムが提供される前に、その脆弱性を利用して行われる攻撃です。不正アクセスやマルウェア感染に繋がりますので、事前の対策が必要です。具体的な事例と対応策、攻撃を受けた場合の対応について紹介します。
目次
ゼロデイ攻撃とは
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性に対する修正プログラムが提供される前に、その脆弱性を利用して行われる攻撃です。
修正プログラムの提供日を1日目として考え、それ以前の期間なので、ゼロデイと呼ばれます。関連して、修正プログラムがまだ提供されていない脆弱性のことを、ゼロデイ脆弱性と呼びます。
ゼロデイ脆弱性を見つけることは高度なことで、滅多に見つけられないと思うかもしれません。
しかし近年では、脆弱性を攻撃するプログラムが売買されており、ゼロデイ攻撃の敷居が下がってきていますので、対策が必要です。
ゼロデイ攻撃の具体例
ゼロデイ攻撃の具体的な事例を紹介します。
VPN機器への不正アクセス
テレワーク対応のために、自宅からオフィスへアクセスできるようVPNを導入した企業は多いのではないでしょうか。
自宅からオフィスへアクセスできるということは、攻撃者もオフィスへアクセスできる可能性があるため、サイバー犯罪者から狙われやすいです。
2021年にはSonicWall社VPNやPulse Secure社VPNにゼロデイ攻撃がありました。詳細な情報は公開されていませんが、認証情報が盗まれる等の被害があったようです。
また、VPN機器への攻撃で被害が大きかったのは、2021年のFortinet社VPNです。
修正プログラムが提供された後の攻撃であるため、ゼロデイ攻撃ではありませんが、世界で8.7万台分の認証情報が流出したとのことです。
この認証情報を悪用したら、どれだけ多くのオフィスへアクセスできるのか、想像しただけでも恐ろしいですね。
社内システムへの不正アクセス
ゼロデイ攻撃による社内システムへの不正アクセスで影響が大きかったのは、三菱電機の約8000人の個人情報流出です。
パソコンのアンチウイルスソフトには、パターンファイルの更新というものがあります。
パターンファイルとは、マルウェアの情報がまとまったデータベースのようなもので、それとマッチしたファイルがパソコン内で見つかったら、ウイルス感染していると判断されます。
このパターンファイルの更新をゼロデイ攻撃で悪用して、本来は、社内の各パソコンに最新のパターンファイルが配信されるところ、マルウェアも配信させたのがこの事例です。
参照:不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報) │三菱電機株式会社
改竄されたWebサイト経由のマルウェア感染
Internet ExplorerやGoogle ChromeといったWebブラウザにゼロデイ脆弱性がある場合に、特殊な細工をしたWebサイトへアクセスすると、マルウェアに感染することがあります。
これは、水飲み場型攻撃と言われ、攻撃対象者がよくアクセスするWebサイト(水飲み場)を改竄し、そこで待ち伏せることから、その名前が付いています。
ゼロデイ脆弱性が使われたかどうかは不明ですが、水飲み場型攻撃で有名なのは、2013年の、共同通信等が運営するニュースサイト「47行政ジャーナル」です。この時、特定組織のサイト閲覧者がマルウェアに感染しました。
似たようなものにフィッシングサイトがありますが、フィッシングサイトはサイト自体が偽物で、訪問者に情報を入力させることによって、情報を収集します。
一方、水飲み場型攻撃は、本物のサイトを改竄しているので、訪問者は細工が仕掛けられているかどうか気付きにくいです。さらに、アクセスするだけでマルウェアに感染する可能性もあり、回避が難しいのが特徴です。
ゼロデイ攻撃への対策方法4つ
どのようにゼロデイ攻撃から守れば良いのでしょうか。ゼロデイ攻撃は、それ自体を防ぐことが難しいです。それは、修正プログラムが提供されていないからです。
ゼロデイ攻撃は、未知のマルウェアを仕込む足がかりとしてよく使われますので、本章では、未知のマルウェアに対する対策を中心に、実践しやすい順番で紹介します。
サポート切れの製品は使わない
大前提として、メーカーサポートの切れた製品の利用はやめましょう。
ゼロデイ攻撃は、修正プログラム提供前の脆弱性を狙った攻撃ですが、サポート切れの製品はそもそも修正プログラムが基本的に提供されません。なので、脆弱性が見つかれば、攻撃者は攻撃し放題です。
Internet ExplorerやWindows7を今でも利用していませんか?
Internet Explorerは2022年6月16日でサポート終了します。Windows7は2020年1月14日にサポートが切れました(条件によっては、2023年1月まで延長セキュリティ更新プログラムによってサポート可能)。
他にも、利用している機器やアプリ等で、メーカーサポートが切れているものはないか確認して、もしあればすぐにバージョンアップ、もしくはリプレイスを検討しましょう。
EDRの導入
EDRは、Endpoint Detection and Responseの略です。パソコン等の端末(Endpoint)内で、マルウェアの振る舞いを検知(Detection)して、対応(Response)するアプリです。
マルウェア対策と言えばアンチウイルスを連想される方がいると思います。アンチウイルスは、既知のマルウェア情報データベースと照らし合わせて、それとマッチするものを除去するものです。
ゼロデイ攻撃は、基本的には未知の攻撃になるので、アンチウイルスでの対応ができないため、EDRのように、マルウェア感染後に影響を防ぐアプリが必要となります。
スーパーマーケットの万引き犯で例えるなら、アンチウイルスは既に指名手配されている犯人を、入口で捕まえるものです。EDRは、入店した犯人を見て、挙動不審な場合に捕まえる万引きGメンです。
良さそうに聞こえますが、一方で、誤検知というデメリットもあります。先ほどの例で言うなら、挙動不審だから捕まえたけど、犯人ではなかったという具合いです。
そのため、誤検知の場合には、それは誤検知だと設定する運用が付きまといます。
おすすめのEDR製品として3つ紹介します。
| サービス名 | Trend Micro Apex One™ SaaS | VMware Carbon Black Enterprise EDR | Microsoft Defender for Endpoint P2 |
|---|---|---|---|
| 提供会社 | Trend Micro | VMware | Microsoft |
| 価格 | 非公開 | 非公開 | Microsoft365 E5ライセンス ¥6200ユーザー/付き(年間払い) |
| 特徴 | ウイルスバスターでお馴染みのTrend Micro社が提供するEDRサービス | EDRの概念を提唱した、パイオニア的存在 | Microsoft365 E5ライセンスに含まれているので、今Microsoft365を利用している場合におすすめ |
サンドボックスの導入
最近のマルウェアは、実際に実行してみないと、マルウェアかどうかが判断できないものが増えてきました。しかし、パソコン上で実行するわけにはいきません。もし本当にマルウェアだった場合に、感染してしまうからです。
そんな時に、試しに実行できるのが、サンドボックスです。実行した結果、マルウェアだった場合でもパソコンに感染しない、仮想空間となっています。
サンドボックスは、オフィスに設置しているファイアウォールに機能が付随している場合や、オプションで付けられる場合があります。ただ、オフィスにファイアウォールを設置していない企業も多いのではないでしょうか。
また、いくらオフィス内でパソコンを守っていても、ノートパソコンを外出先で開いたら意味がありません。そこでマルウェアに感染する恐れがあるためです。
そこで、特におすすめなクラウドメールのオプションとして利用可能なサンドボックスを紹介します。
| サービス名 | Google Workspace セキュリティ サンドボックス | Microsoft Defender for Office 365 |
|---|---|---|
| 提供会社 | Microsoft | |
| 価格 | 非公開 ※Enterprise Plusプランで利用可能 |
Microsoft365 E5ライセンス ¥6200ユーザー/付き(年間払い) |
| 特徴 | Google Workspaces(Gmail)でメールを受信した場合に、添付ファイルが自動的にスキャンされる | Office365(Outlook)でメールを受信した場合に、添付ファイルが自動的にスキャンされる |
今インターネットプロバイダ等のメールを利用している場合は、サンドボックスのオプションが無いか、確認してみてください。オプションがある場合があります。
これらのサンドボックス利用には2点注意があります。
1点目は、添付ファイル付きメールの受信に数分の時間がかかることです。実際にマルウェアを実行して振る舞いを確認するためです。
私の経験ではこんなことがありました。電話をしながら「今メールを送ったので添付ファイルを確認してください」と言われましたが、なかなかメールが受信できず、相手を待たせてしまったことがあります。
2点目は、パスワード付きzipファイル(通称PPAP)はスキャンできないことです。これは、サンドボックス上で自動的にzipファイルを解凍できず、振る舞いが確認できないためです。
Webサービスを運用している場合はWAFの導入
WAFは、Web Application Firewallの略で、Webサイトに特化したファイアウォールです。
水飲み場型攻撃について紹介しましたが、改竄されたWebサイト経由でマルウェアを感染させられる被害者側の立場だけでなく、自社のWebサイト(ホームページやECサイト等)が改竄されて加害者側になる可能性もあります。
それを防ぐためにはWAFの導入がおすすめです。ただし、自社でサーバーを物理的に運用している企業は少ないのではないのでしょうか。
ご利用中のレンタルサーバーやクラウドサービスでどのようなWAFが利用可能なのか確認の上、導入してください。もしくは、Webサイトの運用を外注しているのであれば、WAFを導入したい旨をお伝えください。
ゼロデイ攻撃を受けてしまったときは
異変に気付いたときには、その原因がゼロデイ攻撃によるものかどうか分からないかと思います。ゼロデイ攻撃は足がかりであり、目に見えないからです。
ですので、おそらく結果として起こりうる、マルウェア感染、不正アクセス、情報漏えい発生時の通報先を以下に記載します。
コンピュータウイルス・不正アクセスに関する届出について│IPA
なお、異変のあったパソコン自体は、基本的には初期化してください。
「アンチウイルスソフトでスキャンして異常なかったから大丈夫」という判断は危険です。スキャンで検知できないマルウェアが感染し続けている可能性があるためです。
なお、もし個人情報漏えい等が起こり、監督省庁や顧客に対して原因を説明する必要がある場合は、パソコンの初期化をしないでください。調査に必要なログが消えてしまうからです。
パソコンはネットワークから切り離して、フォレンジック調査に対応したセキュリティベンダーへ依頼しましょう。ただし、その場合は数百万円かかるでしょう。
セキュリティへの投資は3年後の働き方を見据えて計画的に
ゼロデイ攻撃は、攻撃の一種であるため、それだけに注意すれば良いわけではありません。
たとえば、今流行しているEmotetのようなマルウェアは、脆弱性を狙ったものではなく、メールに添付されたファイルを人間が実行することによって感染しています。
また、修正プログラムが提供されているにも関わらず適用しないことによって、防げるはずの攻撃が防げない事例もあります。
「うちにはたいした情報なんてない。うちみたいな小さな企業が狙われるわけない」と思うかもしれませんが、マルウェアに感染すると、被害者になるだけでなく、そこから感染先を増やして加害者になる可能性もあります。
もしかしたら、顧客や取引先の重要な情報が盗まれて、信頼を失うかもしれません。
セキュリティ対策には費用がかかります。その費用が無駄にならないよう、3年後や5年後の働き方を見据えて、計画的な投資をおすすめします。
