ゼロデイ攻撃とは？その手口や対策を事例を交えて解説

ゼロデイ攻撃とは何か

昨今、猛威を振るうランサムウェアの感染経路について、警察庁「令和６年上半期における サイバー空間をめぐる脅威の情勢等について」の調査によると、約半数が「未適用のセキュリティパッチ有」となっており、すなわちゼロデイ攻撃の結果と言える状態です。

ここでは、ゼロデイ攻撃とはどのようなものなのか、定義と原因、増えている背景について解説します。

ゼロデイ攻撃の定義と特徴

警察庁の「基本的なセキュリティ対策」のページでは、ゼロデイ攻撃を以下のように定義しています。

ゼロデイ攻撃は、脆弱性が見つかってから修正プログラムなどのパッチが適用されるまでの時間を狙ったサイバー攻撃のことです。修正プログラムが公開されて対策が取られた日をワンデイとした場合、それより前の日をゼロデイと捉えて表現しているため、ゼロデイ攻撃と呼ばれています。開発元企業が認知していなかったり、発見して修正プログラムを開発している間や、利用企業が脆弱性を認知し修正プログラムを適用するまでの間に行われる攻撃なので事前に防ぐことが難しいのです。

経済産業省のIT政策実施機関であるIPA（独立行政法人情報処理推進機構）が発表している「情報セキュリティ10大脅威　2024　脅威ランキング」の組織向けの中でも、ゼロデイ攻撃は5位に挙げられており注目のほどが伺えます。なお、2022年度版では7位、2023年度版では6位、と年々順位を上げておりその脅威度が伺えます。

ゼロデイ攻撃が増加する背景

ゼロデイ攻撃の脅威が増している背景のひとつは、ソフトウェアやネットワーク機器の普及と複雑化によって脆弱性の管理が追いつかなくなっていることです。特に大規模なシステムやアプリケーションでは、すべての脆弱性を発見し修正することが難しく、攻撃者がその隙を狙う機会が増えてしまいます。

また、攻撃者側の技術力や組織力が向上していることも、ゼロデイ攻撃が増えている背景といえるでしょう。近年では、攻撃者が高度な技術を持つ専門チームを組織し、脆弱性を探す専門的な担当者が配置されていることもあります。場合によっては、ソフトウェアの提供者よりも早く脆弱性を発見することがあり、その結果、対策がなされる前に攻撃が実行されてしまいます。

提供者が脆弱性を発見しても、修正プログラムの開発や配布、利用企業によるパッチ適用に時間がかかる場合があり、その間に攻撃者が同じ脆弱性を見つけ、攻撃を仕掛けることもあります。このタイミングのずれがゼロデイ攻撃の発生につながってしまいます。

ゼロデイ攻撃の具体的な手口

ゼロデイ攻撃は、修正プログラムが適用されていない状態で行われるため、特に危険です。攻撃者は、この無防備な状態を狙って、さまざまな手段でシステムに侵入し、被害をもたらします。以下に、主なゼロデイ攻撃の手口を紹介します。

VPNを利用したゼロデイ攻撃

VPN（仮想プライベートネットワーク）もゼロデイ攻撃の標的となる可能性があります。VPNの脆弱性を悪用して、攻撃者はネットワークに不正侵入し、機密情報を窃取したり、マルウェアを展開したりするからです。VPNへの攻撃は、特にリモートワークでのVPN利用増加に合わせて、増えています。

ゼロデイ攻撃の事例

ゼロデイ攻撃の危険性は実際の事例からも確認できます。以下に、最近の具体的な事例をいくつか紹介します。

事例1. Citrix製品の脆弱性を狙ったゼロデイ攻撃

2023年に、Citrix製品の深刻な脆弱性「Citrix Bleed」を狙う攻撃が広範で展開、ランサムウェアの攻撃活動に悪用された。航空宇宙防衛大手企業でも被害が発生した。

Citrixは、攻撃に対する見立ての説明と推奨事項、具体的には脆弱性が修正されたバージョンへのアップデートや処理を推奨し、利用者に対応を求めた。

参考：「Citrix Bleed」に対する攻撃増加 - 著名ランサムグループも悪用

事例2.HTTP/2の脆弱性を悪用したゼロデイ攻撃

2023年8月に、HTTP/2の脆弱性を悪用したゼロデイ攻撃が発生しました。この攻撃では、大規模なDDos攻撃が確認されています。DDos攻撃は、複数のコンピューターから同時にアクセスして、サーバーやWebサイトに負荷をかけて正常なサービス提供を妨げる攻撃です。

一連の攻撃で、１秒間に３億９，８００万件を超えるリクエストが発生するもので、HTTP/2ラピッドリセット攻撃と呼ばれています。

参考：情報セキュリティ10大脅威 2024 [組織編]

事例3.「WinRAR」の脆弱性を悪用したゼロデイ攻撃

2023年に「WinRAR」の脆弱性を悪用したゼロデイ攻撃が発生しました。この攻撃は、ファイル圧縮ソフト「WinRAR」に複数の脆弱性が存在していて、一部の脆弱性を突いたものでした。具体的には、圧縮ファイルのプレビューを行おうとすると、同名のフォルダ内に配置されたスクリプトを実行させることが可能になる脆弱性でした。

参考：情報セキュリティ10大脅威 2024 [組織編]

ゼロデイ攻撃からシステムを守る対策例

ゼロデイ攻撃からシステムを守るためには、組織全体での包括的なセキュリティ対策が不可欠です。攻撃の予防、早期検知、そして被害を受けた際の迅速な対応を組み合わせることで、リスクを最小限に抑えることが可能です。以下は、一般的な対策例です。

資産の把握と対応体制の整備

まず、自社で利用している全てのソフトウェアやハードウェア資産を正確に把握し、それらの脆弱性を継続的に監視する体制を整えます。また、脆弱性情報を迅速に収集し、必要な対策を講じられる体制を整備することが大切です。

セキュリティパッチの迅速な適用

脆弱性が発見された場合、提供されるセキュリティパッチを迅速に適用するようにしましょう。これにより、ゼロデイ攻撃によるリスクを低減できます。特に、重要なインフラやビジネスに直結するシステムに対しては、直ちに対応することが求められます。

多層防御の導入

どのようなセキュリティソフトや対策を施しても、それ単一ではゼロデイ攻撃を完璧に防ぎ切ることは困難です。開発者がまだ認知していない脆弱性を攻撃者が見つけた時点で突破される可能性があります。ただし、複数の防御が連なっていればその限りではありません。すべての防御を突破して攻撃を成す難易度は格段にあがります。単一ではなく、複数・多層の防御環境を構築しましょう。

定期的なセキュリティ診断の実施

定期的な脆弱性診断などのセキュリティ診断を実施することで、システムの弱点を把握し、未知の脆弱性や設定ミスの早期発見につながります。ほかにもASM（Attack Surface Management）を活用することで事前に自社の資産を把握し、脆弱な資産が外部に公開されていないかなどが確認できます。複数の対策を組み合わせることで、ゼロデイ攻撃に対する効果的な防御が可能でしょう。

従業員のセキュリティ意識向上

従業員に対するセキュリティ教育も欠かせません。特に、フィッシングメールや不審なリンクに対する警戒心を持つことは、ゼロデイ攻撃の予防に直結します。継続的なトレーニングを通じて、従業員のセキュリティ意識を高めましょう。

ASM（Attack Surface Management）によるゼロデイ攻撃対策

ゼロデイ攻撃は、未知の脆弱性を突かれるため、どの企業や組織にも潜在的な脅威をもたらします。
従来のセキュリティ対策では、発見された脆弱性に対する対応が後手に回ることが多く、攻撃者に先を越されてしまうリスクが高まります。

そこで対策として活用できるのが、ASM（Attack Surface Management）です。ASMによるアタックサーフェス（攻撃面）の可視化と継続的なリスク評価により、企業は未知の脅威に対してプロアクティブに対応し、セキュリティ体制を強化できます。本章では、ASMの役割とそのゼロデイ攻撃対策における効果について解説します。

ASMとは？

ASM（Attack Surface Management）とは、組織が保有する全てのデジタル資産を可視化し、攻撃者の視点からその脆弱性やリスクを特定、評価、軽減するための管理手法です。具体的には、ネットワーク上に存在するサーバ、クラウドサービス、IoTデバイス、ソフトウェアなど、インターネットからアクセスできる資産を対象に、サイバー攻撃の可能性を把握し、リスクを軽減するプロセスを継続的に実行します。

一般にゼロデイ攻撃が行われる際には、ターゲットとなりやすい資産（VPNなど）を外部から見えないよう対処することが推奨されます。ASMを活用し対処すべき資産を把握、事前に適切な対処を行うことで、攻撃のターゲットになりづらい環境づくりにつながります。

まとめ

ゼロデイ攻撃は、予測不可能な脅威として企業や組織にとって大きなリスクをもたらします。その特性上、発見された脆弱性が修正される前に攻撃が仕掛けられるため、完全に防ぐのは難しいかもしれません。しかし、包括的な対策を講じればリスクを減らすことができます。

対策を組み合わせることで、ゼロデイ攻撃への備えを強化し、企業全体のセキュリティ体制をより強固なものにすることが可能になります。新たな脅威に対応できるよう、継続的な見直しと改善を心掛けましょう。