ゼロデイ攻撃の影響と対処法を解説！ 被害を未然に防ぐ方法とは？

ゼロデイ攻撃は、OSやアプリケーションの開発元が気づいてない脆弱性を発見し、修正パッチがかかる前に実行されます。まだ開発元も把握していない脆弱性に対してピンポイントに攻撃を行うため、被害が拡大しやすいのが大きな特徴です。

開発元が修正パッチを配信することができれば、被害の拡大を抑えることができますが、修正パッチを短期間で配信するのは難しいのが実情です。ゼロデイ攻撃の被害を無くすためには、脆弱性の全くないOSやアプリケーションをリリースする必要がありますが、現実的ではありません。開発側と攻撃側で常にせめぎ合いが行われています。

ゼロデイ攻撃の代表例

ゼロデイ攻撃には主に以下の2つの種類があります。

• ばらまき型
• 標的型攻撃

ばらまき型では、多くの人がアクセスする傾向にあるWebサイトに攻撃を仕掛け、改ざんを行います。まだ発見されていない脆弱性を利用し、不正なプログラムをサイトに埋め込むことで、サイトを閲覧する不特定多数の利用者に感染させます。

標準型攻撃は、特定の企業や人を狙って行われます。発見した脆弱性に対して働くプログラムをメールなどに添付し、狙ったところへ攻撃を仕掛けます。

これまで実際に起こったゼロデイ攻撃には、bashに起こったシェルショックやAdobe Flash Playerへの攻撃が挙げられます。

ゼロデイ攻撃の影響を以下の3つのプログラム毎に解説しています。

• OS
• Webブラウザ
• サーバーソフトウェア

ゼロデイ攻撃を受けないことが理想ですが、万が一に備えてどのような影響が出てくるのか理解しておきましょう。

OSにゼロデイ攻撃を受けた場合の影響

OSがゼロデイ攻撃を受けると、最悪の場合端末を乗っ取られてしまう可能性があります。攻撃者がOSの脆弱性を発見すると、まずバックドアと呼ばれる不正アクセスを常に可能にするためのプログラムを設置します。

バックドアが社内システム内部に設置されてしまうと、社内サーバーと攻撃者のサーバーが常につながった状態となります。攻撃者はバックドアを通じて不正アクセスを繰り返すことで、Webカメラの悪用や認証情報の確認、さらには端末そのものを乗っ取り、情報を外部に拡散することが可能です。

Webブラウザにゼロデイ攻撃を受けた場合の影響

Webブラウザにゼロデイ攻撃を受けた場合、サイトを閲覧した人がマルウェアに感染する恐れがあります。Webブラウザへ仕掛けるゼロデイ攻撃は、特に「水飲み場型攻撃」とも呼ばれています。

Webブラウザへのゼロデイ攻撃の場合、攻撃を仕掛けたWebサイトに誰も訪問しなかった場合、被害は拡大しません。しかし、訪問者のいないWebサイトなどほぼありません。また、サイトを利用する人からすると、攻撃を受けているかどうか見分ける手段がなく、自己防衛も難しくなっています。

Webブラウザへ仕掛けられたゼロデイ攻撃によってマルウェアに感染してしまうと、端末の乗っ取りや不正な金銭取引が行われる可能性があります。

サーバーソフトウェアにゼロデイ攻撃を受けた場合の影響

サーバーソフトウェアにゼロデイ攻撃を受けた場合、社内の情報を外部に漏洩する、または拡散されてしまう可能性があります。

脆弱性を突かれてサーバーへの不正アクセスを許してしまうと、悪意のある第三者に企業が行っているメールのやり取りやFAXの情報が見られてしまいます。メールの送受信ボックスを盗み見されてしまうと、他者とのやりとりだけでなくメールアドレスまで悪用されてしまうでしょう。

ゼロデイ攻撃を受けた場合の対処法を以下の3つのステップに分けて解説していきます。

ステップ1：すぐにインターネットから切断する
ステップ2：セキュリティ管理部署に連絡をする

万が一に備えて、焦らず対応できるよう想定しておきましょう。

ステップ1：すぐにインターネットから切断する

ゼロデイ攻撃を受けたことが判明した場合、まずは可能な限り早く端末をインターネットから切断しましょう。端末がインターネットに接続されている限り、ゼロデイ攻撃の影響を受け続けてしまうからです。

ゼロデイ攻撃の被害は1つの端末だけに収まらず、加速度的に広がっていきます。外部インターネットだけでなく、社内ネットワークからも切断し、被害の拡大を最小限に抑えることが重要です。

また、会社に限らず個人でもWebサイトを運営している場合は、一時的な措置としてサイトを閉鎖しておきましょう。

ステップ2：セキュリティ管理部署に連絡をする

インターネットからの切断が完了したら、次にセキュリティ管理部署へ連絡しておきましょう。端末をインターネットから切断しただけでは、根本的な問題である脆弱性の解決にはなりません。攻撃の手がかりとなった脆弱性を発見し、修正パッチを配信しない限り、再びゼロデイ攻撃の標的となります。

攻撃を受けた時の状況を整理し、現状を正確に把握するためにも速やかにセキュリティ管理部署と連絡をとりましょう。

また、万が一に備え日頃から定期的にバックアップをとっておいたり、ISMS( Information Security Management System)のガイドラインに沿ったセキュリティなどの訓練を実施しておくと、大きな影響を受けずにすむこともあります。

最後にゼロデイ攻撃の被害に遭わないため日頃からできることを3つご紹介します。

• OSやプログラムの最新化
• EDRの導入
• ゼロトラストを用いた対策

ゼロデイ攻撃の被害を無くすことはできませんが、できる対策から取り組んでいき被害が大きくならないようにしていきましょう。

OSやプログラムの最新化

1つめは端末のOSやアプリケーション・プログラムのバージョンを最新化しておくことです。ゼロデイ攻撃は脆弱性を突いて行われます。OSやプログラムが最新のものになっていないと、修正パッチが配信されているにも関わらず、脆弱性が改善されていない状態となります。

常にOSやプログラムのアップデートを確認し、こまめに更新しておくようにしましょう。

EDRの導入

2つめの対策はEDRを導入することです。EDR(Endpoint Detection and Response)とは、システムやサーバーに外部から悪意のあるアクセスがあった場合に素早く検知することのできるセキュリティシステムです。

開発者がまだ把握していない脆弱性を突いた攻撃があっても、異常を検知することができれば、被害を最小限に抑えることができます。

ゼロトラストを用いた対策

3つめはゼロトラストを用いたセキュリティ対策を行うことです。ゼロトラストとは、ネットワークを信用できる内部と信用できない外部に分けるのではなく、すべてのネットワークが信用できないものとして扱うセキュリティ対策です。

侵入を防ぐのではなく、侵入されることを前提として、不正アクセスがあっても被害が出ないセキュリティ対策を構築することで情報を保護します。

まとめ

ゼロデイ攻撃は、まだ開発側が把握していない脆弱性を突いて攻撃してくるため、対策が難しく、攻撃されたのにも気付きづらいものです。一方、一度ゼロデイ攻撃を受けてしまうと、情報漏洩・拡散など大きな被害につながってしまいます。

企業としての信頼を落とさないためにも、日頃からできる対策を準備し、万が一の際には被害の拡大を抑えられるようにしましょう。