ゼロデイ攻撃とは?被害事例からEDR等の対策まで分かりやすく解説

  • このエントリーをはてなブックマークに追加

三菱電機の事例でも話題になったゼロデイ攻撃。そのリスクと対策について詳しくまとめました。全く知らない方でも分かるように丁寧に解説しているので、是非ご覧ください。

ゼロデイ攻撃とは?

アプリケーションやソフトウェアでの脆弱性が発見された後、修正プログラムを配布する前に再び攻撃されることです。脆弱性はセキュリティホールとも呼ばれ、システムやソフトウェア内での欠落やセキュリティ面での弱点を指します。

脆弱性はウイルス感染や不正アクセスが起きやすい場所です。通常は脆弱性に気付いた段階で、開発者が修正プログラムを配布することで、脆弱性を補っていきます。しかし、ゼロデイ攻撃は修正プログラムの前に攻撃を行うため、対策の施しようがありません。さらに、攻撃を予知できる前兆や情報も無いため、現在最も深刻なダメージを与えるサイバー攻撃の1つだと言われています。

ゼロデイ攻撃の意味

システム上の脆弱性の修正や改善が行われる日を「ワンデイ」と数え、それより前に攻撃されるので「ゼロデイ攻撃」と呼ばれています。

ゼロデイ攻撃の仕組み

ゼロデイ攻撃は、以下の順番で行う修正過程で必ず発生するタイムラグを突く攻撃です。

  1. 脆弱性を発見する
  2. 開発者が修正プログラムを作成
  3. 修正プログラムの完成後、ユーザーがインストール

開発者が脆弱性を見つけてから、修正プログラムを作成するまでには必ず時間がかかります。すぐに解決できるバグや不具合であれば、簡単に修正プログラムを配布できますが、原因がわからないと修正プログラムの作成は長期化します。近年では簡単にウイルスソフトに検知されないファイルレス・マルウェアも増えており、対応が難しくなってきました。

さらに、もう一つの懸念点が脆弱性の発見が攻撃者に見つけられた場合です。ベンダー側や開発者も把握していない「未知の領域」での脆弱性を突いたサイバー攻撃の場合、対策が容易に見つけられません。修正プログラムが配布される間、攻撃者に自由に攻撃されることになり、顧客データや個人情報、機密情報など、情報流出による企業の損害も大きくなります。ゼロデイ攻撃の特徴は、時間的猶予が許されない点と予兆や対策が無い中で攻撃を仕掛けてくるため、企業にとって深刻な影響を与える攻撃です。

ゼロデイ攻撃の被害事例

ゼロデイ攻撃による情報漏えい

日本では2019年に三菱電機がゼロデイ攻撃に遭い、従業員の個人情報や企業の機密情報が高い確率で流出した可能性があると報告されています。
三菱電機の事例を下記に記載しました。

三菱電機

2019年3月に三菱電機の中国拠点にあるウイルス対策管理サーバーが、ゼロデイ攻撃を受けました。攻撃を受けた結果、従業員や退職者を含む8,122名の個人情報と防衛・電力・鉄道などの機密情報や取引データが流出した可能性が高いと発表しています。特に防衛に関する情報は、防衛省とのやり取りも含まれており、重大な国家情報が流出した可能性があり、非常に大きな関心を集めました。

不正アクセスの原因は、日本と中国をつなぐネットワーク装置である、VPNへのハッキングによる可能性が高いと見られています。VPN(Virtual Private Network)は、インターネット上に仮想の専用線を引いてやり取りを行うので、離れた拠点でもスムーズな情報のやり取りを行うことが可能なシステムです。また、VPNではメールの情報を暗号化したり、ユーザーIDとパスワードを照らし合わせて最低限の本人認証を行ったりと、第3者による情報の盗聴や改ざんを防ぐ機能も持ち合わせています。反面、セキュリティレベルが低いと情報流出のリスクが高まるため、万全に行う必要がありました。今回は高いネットワーク技術を持つハッカー集団「BlackTech(ブラックテック)」に、システムの脆弱性を突かれた形になります。


VPNの脆弱性を防ぐには、ID認証だけでなく多要素認証が必要!

この事例で顕著にゼロデイ攻撃の対応として問題に挙げられたのは、ファイルレス・マルウェアへの対策と対策案公開の有無についての2点です。まず、ファイルレス・マルウェアは、近年サイバー攻撃の形として急増している方法になります。ファイルへの書き込みを行わず、Windowsに搭載しているPowerShell機能を利用して、偽サイトや悪意のあるサイトからダウンロードを行うため、PC上に痕跡が残りません。

ウイルスソフトにも検知されづらいため、攻撃者にとっては成功度の高い方法だと言えます。もう1点は、サイバー攻撃への原因や対処経緯、対策案を未完成の状態でマスコミに公表している点です。もちろん、セキュリティ対策が重要であることを再度各企業に警鐘を鳴らすといった意味や日本を代表する企業である三菱企業の事例を紹介することで、社会的にも大きな影響力が与えられる点は一定の効果があるでしょう。

しかし、「情報を攻撃者に与えているのと同じ」だと、考える人がいてもおかしくありません。例えば、今回のように「不正アクセスの検知から断定までに10日間かかった」と公表した場合、攻撃者の立場にとっては「10日間は自由に攻撃できる」と思わせる材料になります。

セキュリティ対策をしっかり行っていた日本の大企業でも、不正アクセスの分析に時間がかかることを示している情報です。今後、攻撃者がよりセキュリティへのガードが甘い取引先の中小企業を起点に、サイバー攻撃を狙おうと考えても不思議ではありません。しかも、今回の事例は2019年3月に起きており、マスコミ向けの公表は約1年後の2020年1月に発表されています。三菱電機の対策も2020年4月に実施すると報告書には記載されており、発表時点では対策が強化されていなかったことが伺えます。この時点で公表する必要があったかどうか、疑問が残りませんか。

今回の事例は企業への影響力や社会的関心度が大きい事件でした。今後このような事件があった場合、対策強化が実施されてから情報を発表するといった、情報公開に慎重な姿勢が求められます。

ゼロデイ攻撃の実例

シェルチェックとAdobe Flash Playerの例を記載します。

2014年:シェルショックの事例

企業でのOSに広くシェルとして使用されているBashの脆弱性を突いた事件です。脆弱性の内容は、遠隔でのアクセスを自由に許してしまう内容でした。Webサイトの改ざんやコード変更、機密情報や個人情報、顧客データなどの情報盗取を自由に許してしまう危険性がありました。修正プログラムが配布されるまで対応できる策がほとんどなく、Bashはサーバー管理にも広く使われていることからも、非常に影響力の大きい事件でした。警視庁が報告書を公開し状況を監視した結果、事件は終息しています。

2018年:Adobe Flash Playerの事例

㈱アドビシステムズが開発した、Flash Playerのバージョン「19.0.0.185」と 「19.0.0.207 」が、2018年にゼロデイ攻撃の影響を受けました。アドビシステムズの発表によると、解放済みメモリ使用(use-after-free)の脆弱性が見つかり、リモートからWebサイトへのコード変更やシステム不具合に影響するとの内容でした。実際には標的型メールでの攻撃が一部確認されています。添付ファイルのワードの中に悪性のFlash Playergが埋め込まれたメールが、送られてきたとの報告が確認されました。その後、修正プログラムが配布されたことによって、沈静化しています。

ゼロデイ攻撃を防ぐために必要な対策

クラウド型の製品を採用する

シンクライアントがおすすめです。シンクライアントはサーバー側でデータ処理や更新を行うため、シンクライアント端末であるPCやタブレットでは、アプリケーションの追加やデータ保存はできません。端末のPCやタブレットでは、クリック操作やキーボード操作など最小限の操作に留まります。

近年増えてきたテレワークやモバイルワークにも適しており、仮に営業マンがセキュリティ対策の低い無料Wi-FiスポットでPCの盗難や紛失をしたとしても、PC上にデータは残らないため、情報流出や漏洩を最小限に食い止めることができます。また、シンクライアントは、USB型やソフトウェアインストール型など、低コストで手間をかけずに行える点も魅力です。特に専門性の高い技術や独自のノウハウを持っている企業は、セキュリティ対策が急務となっているため、検討すべき選択肢の1つだと言えます。

EDRを導入する

EDR(Endpoint Detection and Response)とは、エンドポイントの端末内の状態を常に監視し、不審な動きや異常を見つけたら、すぐに管理者に知らせるための対策になります。エンドポイントは、インターネットや社内ネットワークとつながっているPCやスマートフォンなどの端末を指します。

EDRを導入することは、これまでの「ウイルス感染にかからない」という対策ではなく、「ウイルス感染にかかってもすぐに異常を検知して対処する」といった、ウイルスにかかることを前提の対策に内容が変化しています。なぜ対処法の変化が起きたのでしょうか。

その理由は、DDoS攻撃やランサムウェアなどサイバー攻撃の多様化により、全てのマルウェアの侵入を防ぐことが困難になっているからです。また、テレワークやモバイルワークなど働く場所が多様化したことやSNSやスマートフォン、IoT機器など多くのデバイス機器の登場によって、セキュリティ対策を強化する場所が増えたことも要因の1つです。

全てのデバイス機器にセキュリティ対策を万全にするには、経済的コストや時間的コストなどが多く必要になります。都度対応するのにも限界があります。そのため、システムやソフトウェア内に侵入した不正アクセスやマルウェアを確実に検知し、原因や侵入経路、被害状況などを把握することで、被害を最小限に留める対策に変化しました。

対応内容 メリット
EDRの導入効果
  • 不審なアクセスやマルウェアを検知
  • 感染経路・原因を把握
  • システム全体の動きを監視可能
  • 被害を最小限に抑止
  • 未知の脆弱性への対応
  • 修正作業に伴う時間的・経済的コストの削減

EDR製品を見極めるポイント

EDR製品は4つのポイントに機能を分けることができます。

  • 検知
  • 隔離
  • 分析
  • 復旧

コストと照らし合わせ、導入効果の高い商品を選ぶことが大切です。

検知能力
  • 原因の確定
  • 情報漏洩の阻止
  • ファイルレス・マルウェアの検知可能か
  • マルウェアや不審なアクセスを高精度で検知可能か
隔離能力
  • 素早い対処が可能か
  • 遠隔からでも問題なく操作可能か
  • アプリケーションやソフトウェアへの脆弱性を突く攻撃を阻止
  • 被害を最小限に食い留める
分析精度
  • 攻撃者の意図や能力、設備状況などの分析精度
  • エンドポイント端末での行動履歴のデータ付け
  • システムの安定性の維持・工場
  • 再発や被害の拡大を防ぐ
復旧能力
  • 正確な対応を取れているか

 

  • 通常の状態への復旧時間

バグバウンティを活用する

企業がセキュリティやIT分野に関しての知識が豊富な一般人を対象に、自社のシステムやアプリケーションの脆弱性の有無を調査してもらう制度です。脆弱性に技術的な裏付けが取れた場合に、発見者に報奨金を払うシステムになります。企業にとってはメリットが多い制度で、GoogleやFacebook、Microsoftなど、主に欧米企業で積極的に実施を行っています。

日本では企業のセキュリティコンサルティングやセキュリティ面のサポートを行う、㈱スプラウトが日本で初めてのバグバウンティ制度を設けています。主なメリットは3点です。

  1. 技術や知識が豊富な参加者が多い
  2. 低コストで実施可能
  3. 攻撃者の視点から自社システムをチェック

参加者は、セキュリティ分野での技術や知識が豊富なエンジニアやホワイトハッカーが多く、高い確率でバグを見つけ出すことが期待できます。参加者はバグがあると想定してプログラムに取り組むため、比較的早くバグの報告が挙がってくるのも特徴です。また、企業としては初期投資が一切かからず、バグが見つかった場合に発見者に報酬を払えばいいので、「ローリスク・ハイリターン」で実施できる点も魅力になっています。

そして参加者は、攻撃者の視点でシステムやアプリケーションを見るため、どのような点を修正すべきなのか、課題なのかといった部分を企業側は明確に知ることができます。説得力のある意見を基に改善ができるため、サイバー攻撃に対しても費用対効果の高い対策を取ることが可能です。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。