先日、社内で利用しているソフトウェアの開発元から「ゼロデイ攻撃が発生しているので注意してください」とWebサイトで注意喚起のアナウンスがありました。「ゼロデイ攻撃」とは何でしょうか。脆弱性が狙われるとのことですが、ウイルス対策ソフトやソフトウェアの更新だけでは対策としては不十分なのでしょうか。
A
「ゼロデイ攻撃」とは、修正手段が提供されていない脆弱性を狙った攻撃です。無防備のまま攻撃されてしまうので、マルウェアに感染したり、ネットワーク内部へ侵入されてしまうなど、甚大な被害を招くおそれもあります。
最初に「脆弱性」を簡単に復習しておきましょう。脆弱性とは、OSやアプリケーションの設計ミス、プログラムミス(バグ)などが原因の「欠陥」です。マルウェアに感染したり、不正アクセスの原因となります。被害を防ぐためには、脆弱性へ「修正プログラム(パッチ)」を適用し、ソフトウェアを常に最新に保たなければなりません。
ところが、脆弱性が存在するにも関わらず「修正プログラム」が用意されていないことがあります。そして「修正プログラムが提供されるまでのタイムラグ」を狙った攻撃が「ゼロデイ攻撃」と呼ばれているのです。脆弱性を解消したくても、そもそもその手段がなく、防御することが難しい非常に危険な攻撃といえます。
ゼロデイ攻撃が発生する背景
なぜ、ゼロデイ攻撃が発生するのでしょうか。まず、脆弱性を発見するのは、必ずしもソフトウェアの開発者とは限りません。第三者が発見することも少なくありません。
多くは発見者が開発者に直接、あるいは関係機関を介して報告しますが、中にはいきなり脆弱性が公表されてしまうこともあります。また開発者に報告されても、「修正プログラムを作成し、動作確認を行う」にはある程度時間が必要となり、タイムラグが発生します。
さらに厄介なのは、だれも見つけていない未知の脆弱性をサイバー犯罪者が独自に探し出すケースです。開発者さえ知らない状態で、秘密裏にゼロデイ攻撃へ利用されます。このような場合は、被害者やセキュリティベンダーが気づき、はじめて開発者に報告されるのです。そのため、修正プログラムが提供されるまでのタイムラグがますます大きくなってしまいます。
つまりゼロデイ攻撃には、「まだ知られてない脆弱性」、いわば「未知の脆弱性」を突いた攻撃の場合もあれば、開発者が確認している脆弱性でも修正プログラムが提供される前に攻撃される場合もあるというわけです。
もし未知の脆弱性があった場合、それらはサイバー攻撃者にとって、成功する確率が高い魅力的なものとなります。そして、こうした脆弱性情報が闇市場で取り引きされているとの情報もあります。
最近では、特定の企業や組織を狙った「標的型攻撃」と組み合わせた攻撃も発生しています。メールで添付ファイルを送り付けたり、Webサイトを改ざんし閲覧しただけでマルウェアへ感染してしまうことさえあるのです。
ゼロデイ攻撃をおそれる前に、まずは基本的な対策の見直しを
では、被害を防ぐ手立てはないのでしょうか。対策としてまず推奨したいのが、緩和策の実施です。
ゼロデイ攻撃が確認されると、修正プログラムを提供するまで、攻撃を受けた際の影響を緩和させる一時的な対策を、ソフトの開発者や提供者が公開することがあります。
たとえば、マイクロソフトでは「セキュリティアドバイザリ」として情報を公開していますので、それに従って緩和策を実行しましょう。また「Enhanced Mitigation Experience Toolkit(EMET)」といった緩和ツールも用意されています。
ただし、緩和策はあくまで一時的なもので、根本的に脆弱性を修正する手段ではないことを覚えておいてください。修正せずに放置すれば、緩和策を回避する別の攻撃手法が見つかり、再度危険にさらされるおそれがあります。修正プログラムが公開されたら速やかに適用し、脆弱性を根本から解消しておきましょう。
また脆弱性を悪用するマルウェアの侵入などに備え、アンチウイルス製品(セキュリティ対策ソフト)を常に最新の状態に保っておきます。
セキュリティベンダーでは、ゼロデイ攻撃やそれらを悪用する攻撃へ目を光らせており、セキュリティ製品へ対策を追加しています。
アンチウイルス製品は、大量に発生する亜種を検出できるジェネリックシグネチャはもちろん、プログラムの挙動を動的に確認したり、コードを分析してマルウェアを検出するプロアクティブな技術を搭載した製品を選択するとよいでしょう。
ネットワーク経由で攻撃を受けることもあります。ファイアウォールで通信を遮断したり、不正侵入検知システム(IPS/IDS)やWebアプリケーションファイアウォール(WAF)を活用するのも対策のひとつです。
さらにセキュリティの最新動向にも意識を向け、日ごろから脆弱性やゼロデイ攻撃のニュースに注目しておくことも、被害を防ぐ第一歩です。
ゼロデイ攻撃では、未知の脆弱性だけでなく、既知の脆弱性を組み合わせて利用するケースもあります。修正プログラムを確実に適用し、既知の脆弱性を確実に解消しておいてください。
なお、未知の脆弱性を狙う厄介な「ゼロデイ攻撃」は件数としてはごく少数です。覚えておいてほしいのは、「サイバー攻撃の多くは既知の脆弱性を悪用している」ということ。いくら「ゼロデイ攻撃」に注意を払っても、基本的なセキュリティ対策が疎かになっていれば意味がありません。パソコンのセキュリティ対策やネットワーク保護、従業員教育などを再確認しておきましょう。