ゼロデイ攻撃とは?想定される被害と企業に求められる対策

 2020.11.25  株式会社ジェイピー・セキュア

 

ゼロデイ攻撃は、数あるサイバー攻撃の中でも対処が難しいと考えられており、多くの企業が苦慮していることでしょう。企業にとっては、攻撃の特徴や想定される被害をきちんと把握しておくことが重要です。

この記事では、ゼロデイ攻撃の基本的な知識から、企業が行うべき対策について解説します。

「ゼロデイ攻撃」とは何か

情報漏えいやシステム乗っ取りなどのサイバー攻撃は、企業の業務や売上はもちろん、社会的信用や経営存続にも大きな影響を与えます。このような状況下でも、特にリスクが高いとされているのが「ゼロデイ攻撃」です。

まずは、ゼロデイ攻撃とはどのようなサイバー攻撃であるか、詳しく見ていきましょう。

ゼロデイ攻撃の特徴

ゼロデイ攻撃とは、OSやアプリケーションなどに新たな脆弱性が生じてから、ベンダーが修正プログラムを提供するまでに行われるサイバー攻撃のことを指します。

修正プログラム公開前にゼロデイ攻撃が実行されると、利用しているユーザーは防御することができません。また、ベンダーが把握していない脆弱性を狙われた場合は、サイバー攻撃を受けたことすら気付かない場合があります。

ゼロデイ攻撃という名称には、修正プログラムの公開日をワンデイ(One Day)とした場合、その前日に攻撃を仕掛ける「ゼロデイ(Zero Day)を狙う」という由来があります。

実際に発生したゼロデイ攻撃

ゼロデイ攻撃は、検知することが非常に難しい攻撃手法であるため、実際に被害を受けた大企業も多数存在します。

その代表例の1つがMicrosoftです。2019年Internet Explorerに脆弱性が発見され、細工されたウェブページを閲覧すると、任意のコードを実行されるおそれがあるというものでした。マルウェアを用いた攻撃も懸念されるなど、被害の拡大が予想されました。

同年には、Firefoxの脆弱性を突いたゼロデイ攻撃により、暗号資産取扱い事業者が危険に晒される事態になりました。関係者になりすました送信メールから被害が拡大する、標的型攻撃とも連動した事例です。適切な対応が取られたことで被害は抑えられたものの、大きな話題を呼びました。

また、2015年にはAdobe Flash Playerで発見された脆弱性を悪用したサイバー攻撃も発生しました。Webサイトのリッチコンテンツの代表的技術であったAdobe Flash Playerですが、セキュリティ面での不安の声が多かったのも事実です。なお、Adobe Flash Playerは2020年末でサポートが終了します。

このように、よく使用されるアプリケーションにおいてもゼロデイ攻撃が発生している現状であり、どのような企業においても身近な問題と言えるでしょう。

どのような仕組みでゼロデイ攻撃は行われるのか

一般的に、OSやアプリケーションに脆弱性が見つかった場合、ベンダーが修正プログラムを作成します。提供された修正パッチや更新プログラムをユーザーが適用することで、OSやアプリケーションの脆弱性を改修し、ゼロデイ攻撃を防ぐことができるようになります。

その一方で、OSやアプリケーションに潜む脆弱性を狙ったサイバー攻撃は常に行われています。そのため、ベンダーは脆弱性が発見された場合には、即座に修正プログラムを作成する必要がありますが、脆弱性の発見から修正プログラムの提供まで、必然的にタイムラグが生じます。このタイムラグを狙ったゼロデイ攻撃もあるため注意が必要です。

ゼロデイ攻撃が企業にもたらすリスク

ゼロデイ攻撃は、世界中の企業に甚大な被害を及ぼすサイバー攻撃です。では、具体的にどのようなリスクをもたらすのでしょうか。攻撃手法や想定される被害をもとに、ゼロデイ攻撃が企業にもたらすリスクについて解説します。

ゼロデイ攻撃が企業にもたらす被害

ゼロデイ攻撃により、パソコンがマルウェアに感染し、個人情報やID・パスワードなどの機密情報が流出する可能性があります。さらに、パソコンやシステムが乗っ取られると、不正アクセスやなりすまし、顧客情報の漏えいなどが発生し、顧客への金銭的賠償や企業の社会的信用の失墜にも繋がるでしょう。

その他、DDoSによるサーバー、サービスの停止やランサムウェアによる機密情報のファイル暗号化、身代金要求といった被害が発生する可能性もあります。また、ゼロデイ攻撃を受けたパソコンが他の端末を攻撃する中継点となり、「攻撃者」という立場になってしまったという事例もあります。

脆弱性に対する具体的な攻撃手法

OSやアプリケーション、セキュリティソフトなどの脆弱性につけこむゼロデイ攻撃ですが、攻撃手法にはいくつかの種類があります。

特に多いのが、不正ファイルを開かせる手法です。メールにファイルやURLを添付し、ゼロデイ攻撃を含んだ不正ファイルを開かせる手口です。また、メール内容によりユーザーを騙し、不正広告などへ誘導する被害も多発しています。

ほかにも、ユーザーが頻繁に閲覧するWebサイトを改ざんし、閲覧時に攻撃を仕掛ける「水飲み場攻撃」という手法もあります。

このように、攻撃者はあらゆる手口を用いてゼロデイ攻撃を行うため、企業には綿密なセキュリティ対策が求められます。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

企業に求められるゼロデイ攻撃対策とは

企業ができるゼ対策として、まず初めに行うべきなのがOSやブラウザ、アプリケーションなどの安全性確保です。修正・更新プログラムは必ず適用するようにし、常に最新の状態を保つようにしましょう。自動更新の設定が推奨され、なるべく早く最新プログラムを入手できるようにしておくことが大切です。

しかし、ソフトウェアから脆弱性が完全になくなることはありません。日々、脆弱性を悪用した攻撃や新たなマルウェアが確認されています。そのため、脆弱性対策や新たなマルウェアに対応できているかの検証と、必要に応じたセキュリティ強化をお薦めします。

企業のセキュリティ強化が必須

脆弱性を悪用した攻撃、ゼロデイ攻撃による被害は世界中で増加の傾向にあり、企業規模に関わらずセキュリティ強化が求められています。

Webサイトのセキュリティ対策としては、WAFの導入が有効です。WAFの導入により、脆弱性を悪用した攻撃による個人情報の窃取やWebサイトの改ざんを防ぐ効果があり、前述の「水飲み場攻撃」への対処にも役立ちます。Webサイトのセキュリティ強化をご検討の際には、JP-Secureが提供するソフトウェア型WAF「SiteGuardシリーズ」お薦めしています。シンプルな設計により、導入・運用しやすい製品となっておりますので、お気軽にお問い合わせください。

 

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「入門」の最新記事


ゼロデイ攻撃とは?想定される被害と企業に求められる対策
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング