ゼロデイ攻撃は、数あるサイバー攻撃の中でも対処が難しいと考えられており、多くの企業が苦慮していることでしょう。企業にとっては、攻撃の特徴や想定される被害をきちんと把握しておくことが重要です。
本稿では、ゼロデイ攻撃の基本的な知識から、企業が行うべき対策について解説します。
「ゼロデイ攻撃」とは何か
情報漏えいやシステム乗っ取りなどのサイバー攻撃は、企業の業務や売上はもちろん、社会的信用や経営存続にも大きな影響を与えます。このような状況下でも、特にリスクが高いとされているのが「ゼロデイ攻撃」です。
まずは、ゼロデイ攻撃とはどのようなサイバー攻撃であるか、詳しく見ていきましょう。
ゼロデイ攻撃の特徴
ゼロデイ攻撃とは、OSやアプリケーションなどに新たな脆弱性が生じてから、ベンダーが修正プログラムを提供する前に行われるサイバー攻撃のことを指します。
修正プログラムの公開前にゼロデイ攻撃が実行されると、利用しているユーザーは防御することができません。また、ベンダーが把握していない脆弱性を狙われた場合は、サイバー攻撃を受けたことすら気付かない場合があります。
ゼロデイ攻撃という名称には、修正プログラムの公開日をワンデイ(One Day)とした場合、その以前に攻撃を仕掛ける「ゼロデイ(Zero Day)を狙う」という由来があります。
実際に発生したゼロデイ攻撃
ゼロデイ攻撃は、検知することが非常に難しい攻撃手法であるため、実際に被害を受けた大企業も多数存在します。
2019年には、MicrosoftのInternet Explorerに脆弱性が発見されました。この脆弱性は細工されたウェブページを閲覧すると、任意のコードを実行されるおそれがあるというもので、マルウェアが仕込まれたWebサイトを閲覧すると悪意あるコードが実行され、データの改ざんやアカウントが勝手に作成されたりなどの被害が確認されました。
同年には、Firefoxの脆弱性を突いたゼロデイ攻撃により、暗号資産取扱い事業者が危険に晒される事態になりました。関係者になりすました送信メールから被害が拡大する、標的型攻撃とも連動した事例です。適切な対応が取られたことで被害は抑えられたものの、大きな話題を呼びました。
また、2021年に発見されたApache Log4jの脆弱性(CVE-2021-44228)は、リモートから任意のコマンドを実行される恐れがあるというものでした。インターネット経由で誰でも簡単に攻撃できてしまう可能性があり、危険度が高いということだけにとどまらず、Log4jがどこで使われているかの把握が難しく影響範囲が特定しづらいという点でも様々な影響をもたらした脆弱性でした。
どのような仕組みでゼロデイ攻撃は行われるのか
一般的に、OSやアプリケーションに脆弱性が見つかった場合、ベンダーが修正プログラムを作成します。提供された修正パッチや更新プログラムをユーザーが適用することで、OSやアプリケーションの脆弱性を改修し、ゼロデイ攻撃を防ぐことができるようになります。
その一方で、OSやアプリケーションに潜む脆弱性を狙ったサイバー攻撃は常に行われています。そのため、ベンダーは脆弱性が発見された場合には、即座に修正プログラムを作成する必要がありますが、脆弱性の発見から修正プログラムの提供まで、必然的にタイムラグが生じます。このタイムラグを狙ったゼロデイ攻撃もあるため注意が必要です。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
ゼロデイ攻撃が企業にもたらすリスク
ゼロデイ攻撃は、世界中の企業に甚大な被害を及ぼすサイバー攻撃です。
では、具体的にどのようなリスクをもたらすのでしょうか。攻撃手法や想定される被害をもとに、ゼロデイ攻撃が企業にもたらすリスクについて解説します。
ゼロデイ攻撃が企業にもたらす被害
ゼロデイ攻撃により、パソコンがマルウェアに感染し、個人情報やID・パスワードなどの機密情報が流出する可能性があります。さらに、パソコンやシステムが乗っ取られると、不正アクセスやなりすまし、顧客情報の漏えいなどが発生し、顧客への金銭的賠償や企業の社会的信用の失墜にも繋がるでしょう。
その他、DDoSによるサーバー、サービスの停止やランサムウェアによる機密情報のファイル暗号化、身代金要求といった被害が発生する可能性もあります。また、ゼロデイ攻撃を受けたパソコンが他の端末を攻撃する中継点となり、「攻撃者」という立場になってしまったという事例もあります。
脆弱性に対する具体的な攻撃手法
OSやアプリケーション、セキュリティソフトなどの脆弱性につけこむゼロデイ攻撃ですが、攻撃手法にはいくつかの種類があります。
特に多いのが、不正ファイルを開かせる手法です。メールにファイルやURLを添付し、ゼロデイ攻撃を含んだ不正ファイルを開かせる手口です。また、メール内容によりユーザーを騙し、不正広告などへ誘導する被害も多発しています。
ほかにも、ユーザーが頻繁に閲覧するWebサイトを改ざんし、閲覧時に攻撃を仕掛ける「水飲み場攻撃」という手法もあります。
このように、攻撃者はあらゆる手口を用いてゼロデイ攻撃を行うため、企業には綿密なセキュリティ対策が求められます。
企業に求められるゼロデイ攻撃対策とは
企業ができる対策として、まず初めに行うべきなのがOSやブラウザ、アプリケーションなどの安全性確保です。
修正・更新プログラムは必ず適用するようにし、常に最新の状態を保つようにしましょう。自動更新の設定が推奨され、なるべく早く最新プログラムを入手できるようにしておくことが大切です。
しかし、ソフトウェアから脆弱性が完全になくなることはありません。日々、脆弱性を悪用した攻撃や新たなマルウェアが確認されています。そのため、脆弱性対策や新たなマルウェアに対応できているかの検証と、必要に応じたセキュリティ強化をお薦めします。
企業のセキュリティ強化が必須
脆弱性を悪用した攻撃、ゼロデイ攻撃による被害は世界中で増加の傾向にあり、企業規模に関わらずセキュリティ強化が求められています。
Webサイトのセキュリティ対策としては、WAFの導入が有効です。WAFは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用する攻撃に対して非常に有効です。脆弱性を悪用した攻撃による個人情報の窃取やWebサイトの改ざんを防ぐ効果があり、前述の「水飲み場攻撃」への対処にも役立ちます。
Webサイトのセキュリティ強化をご検討の際には、EGセキュアソリューションズ株式会社が提供する純国産WAF「SiteGuardシリーズ」をお薦めお薦めしています。クラウド型、ホスト型、ゲートウェイ型のWAFをご用意しておりますので、様々な要件に対応することが可能です。
WAFの導入をご検討の際は、ぜひ当社までご相談ください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
