2023-09-28 09:00:11

ゼロデイ攻撃の対策方法は？概要や主な手口、近年の傾向を解説

社内のIT機器やシステムの更新を長らく怠ってしまっていないでしょうか。
万が一、これらに脆弱性が見つかり、修正しない状態で放置すると、「ゼロデイ攻撃」のリスクが高まります。

本記事では、近年注目されるゼロデイ攻撃の特徴や手口、近年の傾向、対策方法までお伝えします。
セキュリティ強化へ向けて情報収集中のご担当者様は、ぜひ参考にお読みください。

ゼロデイ攻撃とは？

ゼロデイ攻撃とは、OSやソフトウェアの「セキュリティホール（脆弱性）」を狙ったサイバー攻撃です。

OSやソフトウェアに脆弱性が発見された際に、ベンダーが修正を行う前の無防備な状態を狙って仕掛けられるのが特徴となっています。

通常、OSやソフトウェアに脆弱性が見つかると、ベンダーが速やかに修正プログラムを配布し、アップデートによって修正プログラムが適用されることで、安全性が保たれます。
しかし、ゼロデイ攻撃では脆弱性が修正される前に攻撃が行われるのです。

このように、修正プログラムの適用前にあたるわずかな期間（＝ゼロデイ）に攻撃が行われることから、「ゼロデイ攻撃」と名づけられました。
ゼロデイ攻撃では、ベンダーがまだ把握していない脆弱性を狙って、新たなパターンで攻撃を行います。

そのため、既存のセキュリティ対策では対応しきれず、防御が難しいのが難点です。
新たな攻撃パターンが次々と登場することから、根本的に対策しにくいと考えられています。

ゼロデイ攻撃の主な手口

ゼロデイ攻撃では、具体的にどのような手口で攻撃が行われるのでしょうか。
ここでは代表的な手口をご紹介します。

マルウェアによる感染

未知の脆弱性を悪用してマルウェアに感染させる手口です。
ゼロデイ攻撃で主に利用される手口であり、注意する必要があります。
マルウェアとは、システムに対して有害な動きをする、悪意のあるプログラムのことです。

マルウェアに感染すると、攻撃者によって情報を窃取されたり、システムを破壊されたりするおそれがあります。

ゼロデイ攻撃で用いられるマルウェアは、既存のマルウェアとは異なる動きをすることから、動作のパターンによってマルウェアを検知する方式のウイルス対策ソフトでは駆除できないケースも少なくありません。
たとえウイルス対策ソフトを導入している場合も、ゼロデイ攻撃のリスクを避けるのは難しいといえるでしょう。

不正アクセス

不正アクセスとは、未知の脆弱性を悪用して社内のシステムやネットワークに不正侵入する手口です。

攻撃者によって社内の機器に保存された機密情報を窃取されたり、改ざんされたり、破壊されたりするおそれがあります。

機密情報には、社員や顧客などの個人情報や、取引先に関する情報、商品やサービスに関する情報などが含まれます。
こうした機密情報に危害が加えられることで、企業のビジネスに多大な損害が与えられる危険性があるのです。
自社だけでなく、顧客や取引先など広範囲にわたり被害がもたらされるリスクもあるでしょう。

また、なかには機密情報を人質に取られ、攻撃者から高額な身代金を要求されるケースも存在します。
特定の企業を狙った攻撃が行われる可能性があるため、注意が必要です。

ゼロデイ攻撃の近年の傾向

近年のゼロデイ攻撃では、特定の企業や組織を狙った、ターゲット型攻撃の事例がよく見られます。

被害が深刻化する傾向にあるため、企業はセキュリティ対策の強化に努めることが大切です。
ここでは、ゼロデイ攻撃が増加する背景を解説します。

ゼロデイ攻撃が増加している理由

根本的な対策が難しい

近年では、多くの企業がウイルス対策ソフトの導入をはじめとした、基本的なセキュリティ対策を講じています。

しかし、ゼロデイ攻撃ではこれまでにない新たなパターンで攻撃が行われるため、基本的なセキュリティ対策のみでは根本的に対策するのが難しいといえます。

こうした対策の難しさから、ゼロデイ攻撃の被害が後を絶ちません。

攻撃者にとって魅力が大きい

ゼロデイ攻撃では、ベンダーによる対策が確立される前に、着実に脆弱性を狙って攻撃を仕掛けられます。
どんなシステムでも、脆弱性を完璧に無くすことはできません。
攻撃者は今後も、新たに発見された脆弱性を狙って、次々と攻撃を仕掛けてくるでしょう。

ダークウェブでの取引規模が拡大している

ゼロデイ攻撃につながる未知の脆弱性の情報は、ダークウェブ上で取引が行われています。
ダークウェブとは、匿名性が高く、違法な取引の温床となっているWebサイトのことです。
近年では未知の脆弱性の情報が高値で取引され、取引の規模が拡大傾向にあると懸念されています。

ゼロデイ攻撃の対策方法とは？

ここまでお伝えしたように、ゼロデイ攻撃は根本的な対策が難しいとされます。
ただし、基本的なセキュリティ対策への取り組みが、被害のリスクを減らすことにつながります。
ゼロデイ攻撃による被害を避けるためにも、以下の対策方法へ取り組みましょう。

セキュリティパッチの適用

ゼロデイ攻撃から自社を守るためには、まずベンダーから配布されたセキュリティパッチ（＝修正プログラム）を速やかに適用する必要があります。

ゼロデイ攻撃を受ける前に脆弱性を修正できれば、攻撃のリスクを避けることが可能です。

そのためにも、ベンダーから脆弱性に関する最新情報を常に受け取れる体制を整えて、情報収集を徹底しましょう。
また、ベンダーによるサポートが終了した古い製品の利用を避けるために、社内の設備を見直し、必要に応じて新たな製品に買い替えるといった対応も有効です。

クラウドサービスの利用

自社でサーバーやシステムを構築して運用している場合は、クラウドサービスへの乗り替えも検討するといいでしょう。
ベンダーが提供するクラウドサービスを利用すると、セキュリティ対策の強化やコスト削減が期待できます。
クラウドサービスはベンダーが一括でセキュリティ対策を講じるため、自社で保守運用を行う手間がかかりません。

サーバーやシステムを常にセキュリティの高い状態に保ちやすくなるのがメリットです。

セキュリティ対策の一元化により、自社で運用する場合と比べてゼロデイ攻撃をはじめとしたサイバー攻撃に対する防御力を高めやすくなるでしょう。

検知能力の向上

万が一ゼロデイ攻撃を受けてしまったら、速やかに異常を検知して対応を行い、被害を最小限に留めることが重要です。
そこで、エンドポイントを監視する「EDR（Endpoint Detection and Response）」などのセキュリティ対策を導入し、検知能力を向上させる方法が有効だと考えられています。

EDRを導入すると、リアルタイムで不審な動きを検知し、端末の隔離やファイル削除などの対応ができるようになります。

ゼロデイ攻撃は根本的な対策が難しいからこそ、攻撃を受けてしまった場合に備えた対策が必要です。
サイバー攻撃への迅速な対応と、早期の復旧を実現するために、EDRをはじめとしたセキュリティ対策の導入も検討しましょう。

サンドボックスの導入

サンドボックスとは、コンピューターから隔離された場所に設けられる、仮想の環境のことです。
サンドボックスを設置すると、プログラムやファイルをまずサンドボックスの中で動作させることにより、安全性を確認できるようになります。

サンドボックスは、コンピューターから独立している環境のため、仮に動作させたものがマルウェアや悪質なファイルであったとしても、社内への被害を抑えられます。
仮想環境での検証を通じて、ゼロデイ攻撃による被害を事前に防ぐことが可能です。

なかには、ウイルス対策ソフトでは検出されなかったマルウェアが、サンドボックスで検出されるケースもあります。
複数の対策方法と組み合わせて導入するといいでしょう。

ゼロデイ攻撃の被害事例

国内外でも多くの企業がゼロデイ攻撃による被害を受けています。

たとえば、2022年には「Microsoft Exchange Server」の脆弱性を狙ったゼロデイ攻撃が発生しました。
Microsoft社は、修正プログラムの配布までに一時的な緩和策を案内するなどの対応を行っています。

また、2022年に発生した「Internet Explorer」の脆弱性を狙ったゼロデイ攻撃の被害事例もよく知られています。
当時すでに「Internet Explorer」はサポートが終了していましたが、「Microsoft Office」で一部の機能が使用されており、脆弱性の修正にセキュリティパッチの適用が必要でした。

ゼロデイ攻撃を防ぐためにも、ベンダーが発信する脆弱性に関する最新情報をこまめに確認することが大切です。