ゼロデイ攻撃とは、脆弱性を悪用したサイバー攻撃の一種です。
OSやさまざまなアプリケーションには脆弱性が見つかるケースが往々にしてあります。
脆弱性は、セキュリティホールとして見つかると、開発ベンダーから対処方法が提供されます。
ゼロデイ攻撃は、この対処方法が提供するまでの空白期間を悪用したものです。
今回は、サイバー攻撃の中でも防ぐことが難しい手口の一つであるゼロデイ攻撃について概要や仕組み、対応方法などについて解説します。
ご存じですか?
Windows Server 2012/2012R2の
サポート期限が2023年に迫っています。
Windows Server 2012/2012R2もWindows Server 2016も
サポート終了の対応をWinserverがお手伝い
▼詳しくはこちら▼
目次
ゼロデイ攻撃とは
ゼロデイ攻撃とはどのようなものなのか、何がそんなに危険なのかといった基本的なことについて見ていきましょう。
ゼロデイ攻撃とは?
マルウェアや不正アクセス、DDoS攻撃など、サイバー攻撃にはOSやソフトウェアの脆弱性を悪用するケースがたくさんあります。
一般的にOSやソフトウェアなどに脆弱性が見つかると開発ベンダーから速やかに修正プログラムなどが提供され、問題が解消されます。
しかしながら、ここで問題となるのが「脆弱性が見つかってから解消されるまでの間」です。
この期間は、脆弱性は明らかになっているにも関わらず全く対策できない状態となります。
ゼロデイ攻撃は、この空白期間を悪用し無防備な状態のシステムに攻撃を仕掛けるものとなっています。
ゼロデイ攻撃のゼロデイとは、修正プログラムなどが提供され始める日を「1日目」として、提供前の「0日目」という意味から来ています。
このように修正プログラム等が提供されていない危険な状態を悪用したものがゼロデイ攻撃となります。
2021.01.07
サイバー攻撃とは?テレワークの増加で攻撃も急増中?徹底解説します
昨今、インターネットを活用したオンラインショッピングやクラウドサービスなどの拡大、スマートフォンやウェアラブルデバイスなどネットワークに接続...
2021.02.18
マルウェアとは。種類、感染防止策、検知方法をわかりやすく解説。
パソコンやスマートフォンなどを使っていると、ウイルスや迷惑メールなどさまざまなサイバー攻撃に遭う時があります。最近では、サイバー攻撃...
2021.03.04
DDoS攻撃とは。種類や増加の背景、防御策について徹底解説
インターネットを利用して行われるサイバー攻撃の一つにDDoS攻撃というものがあります。オンラインショッピングやネットバンキング、オン...
ゼロデイ攻撃が持つ危険性とは
なぜ「ゼロデイ攻撃は危険」と言われるのでしょうか。
ゼロデイ攻撃は、先ほども解説した通り「ある脆弱性の対策が行われる前に、その脆弱性を悪用して攻撃を行う」といったものです。
したがって、攻撃は防ぐのが非常に難しいものとなります。
ゼロデイ攻撃が危険であると言われる理由は、「防ぐことが非常に難しい」といった点にあります。
ゼロデイ攻撃が増加する背景
オンラインショッピングや、インターネット上での情報のやりとり、オンライントレード、IoTなど、ネットワーク利用が急増する中で、サイバー攻撃全体の件数も急激に増加しています。
この傾向は、テレワークやリモートワークの拡大といった働き方の大きな変化も影響していると考えられます。
実際にゼロデイ攻撃は、米国のサイバーセキュリティ企業であるMandiant報告でも、2021年には80件のゼロデイ悪用の事例があると言われています。
これはそれまで最高と言われた2019年の倍以上とのことです。
「ゼロ・トレランス : 2021年、ゼロデイ脆弱性の悪用件数が過去最高に」
ゼロデイ攻撃の件数はここ数年で急激に増加していますが、それには以下のような背景があると考えられます。
- 北朝鮮、中国、ロシアなど国家が支援するサイバースパイグループがゼロデイを積極的に悪用している。
- 脆弱性情報を販売するブローカー(エクスプロイト・ブローカー)の増加
- インターネットに接続されるシステムやデバイスの量と複雑さが増し、脆弱性が増えたこと
- 防御の強化によって、以前より多くのゼロデイ攻撃を検知できるようになった
など
ゼロデイ攻撃が増えてきた背景には、実にさまざまな理由があることがわかります。
ゼロデイ攻撃の仕組みと手口
脆弱性の空白期間を悪用するのがゼロデイ攻撃の特徴ですが、これらの攻撃の仕組みや手口についてもう少し詳しく見ていきましょう。
ゼロデイ攻撃は、先ほども触れたように特定の脆弱性について対策が行われる前の空白期間を悪用するものです。
そのなかで使われる手法や流れは以下のようになっています。
ゼロデイ攻撃の主な種類
ゼロデイ攻撃の主な種類は他のサイバー攻撃と共通ですが、脆弱性対策の空白期間に行われるのがゼロデイ攻撃としての特徴となります。
<マルウェア添付や不正なリンクをメールで送る>
不特定の相手、あるいは特定のターゲットにマルウェアを添付したり、不正なリンクをつけたりしたメールを送る。
<Webサイトの改ざん>
Webソフトを改ざんしてマルウェアをダウンロードさせるようにする、あるいはそうしたリンクをつける。
いずれの方法もゼロデイ攻撃以外でも一般的に見られる手法です。
他の攻撃との違いはやはり「脆弱性の空白期間に攻撃される」といった点にあります。
ゼロデイ攻撃の一般的な流れ
ゼロデイ攻撃は、他のサイバー攻撃と流れとしては似ているものの、脆弱性の空白期間を悪用して攻撃を行うことが特徴です。
それを踏まえてのゼロデイ攻撃の始まりから収束の流れを整理すると、以下のようになります。
- あるベンダーがOSやソフトウェアをリリース(脆弱性を含むが見つかっていない)
- 攻撃者が脆弱性を発見(開発者は脆弱性に気づいていない)
- 攻撃者が脆弱性を悪用した攻撃を実施
- 開発者が対処法を調査し、修正プログラムを作成
- 開発者から修正プログラムが提供される
- 修正プログラムが適用される
このようにOSやプログラムにある脆弱性について開発者が対処法を提供し、それが脆弱性を持つサーバーなどに適用されるまでがゼロデイ攻撃の対象期間となります。
ゼロデイ攻撃の被害事例
先ほど少し触れましたが、実際にゼロデイ攻撃の件数は急激増加しています。
では実際にどのような被害が出ているのでしょうか。
いくつかの被害事例を紹介します。
<bashの脆弱性を悪用したシェルショック>
2014年の事例と少し古いものですが、ゼロデイ攻撃の被害事例としてはよく知られたものです。
Linuxなどで使われているシェルであるbashの脆弱性を悪用したもので、遠隔からの第三者による操作が可能になってしまうもの。
<ゼロデイ攻撃による国交の断絶>
2022年7月に発生したゼロデイ攻撃で、アルバニアは、この攻撃がイランによって支援されたものとし、9月7日に国交の断絶を発表しました。
国家間の国交が断絶された初めての事例。
<ビットコインATMメーカーへのゼロデイ攻撃>
2022年8月に発生した事例。
ビットコインATMメーカーのゼネラルバイト(General Bytes)に対してゼロデイ攻撃が仕掛けられ、資金が犯罪者のビットコインウォレットに転送されるように設定されたもの。
このようにゼロデイ攻撃によって、さまざまな被害が出ています。
ゼロデイ攻撃からシステムや情報を守るためには
ゼロデイ攻撃は、脆弱性が解決されていない無防備なタイミングを悪用してくるものです。
こうした悪質な攻撃からシステムや情報などの資産を守るにはどのようにすれば良いのでしょうか。
ゼロデイ攻撃を防ぐ方法には大きく分けて3つの対策があります。
<EDR(Endpoint Detection and Response)製品の導入>
異常な挙動や通信がないかを分析し、異常が見つかった場合は端末の停止や切り離しを行う機器。
セキュリティ対策ソフトウェアと同じように管理対象の各端末にエンドポイントをインストールし、クラウド等で管理する。
<サンドボックスの導入>
サンドボックスとは、通常利用するシステム上の領域から隔離され、安全な仮想環境として作られた領域のことで、ソフトウェアで仮想的に作ることができる。
怪しいプログラムなどがもし実行されても通常領域でなく、サンドボックス内であれば外側に影響はない。
<OSやソフトウェアの迅速なバージョンアップ>
迅速な更新を行うことで、脆弱性が残る「ゼロデイ」期間をできるだけ短くすることが重要。
短くすることで、無防備な状態を最小限にすることができる。
このように、ゼロデイ攻撃を防ぐには、「脆弱性を減らす」「無防備な時間を短くする」「早く異常を見つけて対処する」といったようなポイントを押さえることが重要となります。
まだ対策が十分でない場合は、計画的かつ確実に進めるようにしましょう。
古い製品を使い続けるリスクとは
パソコンやサーバー、ソフトウェアなどで古い製品をそのまま使っているケースは非常に多いのではないでしょうか。
「買い換える予算がない」「使えているので更新の必要性を感じない」など、その理由にはいくつかあると考えられます。
しかしながら、古い製品を使い続けると以下のようなリスクがあります。
- 脆弱性がそのまま残されて修正されない
- 故障により業務サービスが停止する
- 新しい製品と整合性が取れず、システム全体での連携が難しくなる
特に、「脆弱性がそのまま残されて修正されない」ということは、ゼロデイ攻撃でのゼロデイの期間がずっと続くことを意味しています。
これは非常に危険な状態です。
今は、クラウドやVPSなど安価に抑えられる方法もあるので、必ず計画的に更新を進めましょう。
また、OSやソフトウェアにはそれぞれサポート期間が設定されています。
2023年10月10日にサポートが終了するWindows Server 2012/2012R2もその一つです。
これらサポート期限については認識されていますか?
サポート期限を正確に把握し、計画的にOSの更新などを進めていくことが脆弱性を悪用したゼロデイ攻撃を防ぐ上でもとても大切なこととなります。
Windows Server 2012/2012R2 延長サポート終了
2023年10月10日にWindows Server 2012/2012R2はMicrosoftの延長サポートを終了します。
OSサポート終了により前述のリスクが高まり、下記のような問題が起こる可能性があります。
- 機密情報や個人情報の流出
- 企業価値や信頼度の低下
- 攻撃による業務停止
など
こういった問題を解決すべく、WinserverがOSサポート終了の対応のお手伝いをいたします。
Winserverは、Microsoftのクラウドコンピテンシーを保有するアシストアップ株式会社が国内で20年以上提供しているWindows専門のホスティングサービスです。
お客様から、「Windowsだから使いやすい」や「電話サポートがしっかりしていて安心して利用できる」「障害がなく信頼性が高い」という声が多数寄せられており、確かな技術を元に信頼されるサービスを提供しております。
現在Winserverをご契約中のお客様はもちろん、他社サーバーでWindows Server 2012/2012 R2をご利用中のお客様もお気軽にご相談ください。
まずはお問い合わせフォームまたは無料オンライン相談会から、サーバー移行についてご相談ください。
まとめ
インターネット利用の拡大や、テレワークやリモートワークの拡大などの結果、サイバー攻撃も急増しています。
ゼロデイ攻撃は、サイバー攻撃の中でも防ぐことが難しいものです。
普通、OSやソフトウェアの脆弱性が見つかると、速やかに開発ベンダーから修正プログラムが提供されます。
しかし、脆弱性が見つかってから、修正プログラムがコンピュータに適用されるまでは全くの無防備となります。
この無防備期間をターゲットにするのが、今回解説したゼロデイ攻撃です。
こうしたゼロデイ攻撃を防ぐには、今回解説したようなEDRなど従来の方法とは異なるものを組み合わせることも効果的です。
そして対策が提供されたら、速やかに対応できる体制を作っておくことが重要です。
