ゼロデイ攻撃の解説

CVEの目的は、各種脆弱性リスト（ツール、データベース、組織間）で情報を簡単に共有できるようにすることです。CVEレコードには、ID番号、説明、そして1つの公開参照が含まれます。

‍

ゼロデイ攻撃とは

ゼロデイ攻撃は、エンジニアや一般に知られていない製品の脆弱性が攻撃時に悪用されることで発生します。エンジニアが修正のための期間を持たなかったため「ゼロデイ」と呼ばれます。

ゼロデイ脆弱性の修正は、かなりの時間を要することがあります。Microsoftなどの主要ソフトウェアメーカーは、月に一度ほどパッチを提供しています。製品の更新が少ないほど、または基本ソフトウェア用の更新頻度が低いほど、セキュリティリスクは高まります。

‍ゼロデイ脆弱性の悪用とは

ゼロデイ脆弱性は、本質的には欠陥です。未知の状態で発見されたソフトウェアやハードウェアの不具合が、長い間異常と気づかれることなく存在する場合があります。実際に、ゼロデイの悪用は初動での発見の機会を全く与えません。

ゼロデイ攻撃の仕組みと危険性

ソフトウェアにはセキュリティ上の脆弱性が存在することが多く、メーカーはそれらを修正するためにアップデートを提供しています。

しかし、場合によってはメーカーよりも先に脆弱性に気づくことがあり、その間に攻撃者は脆弱性を突いた悪用コードを作成・実行します。これを攻撃コードと呼びます。

この攻撃コードによって、システム上で情報詐欺やその他のサイバー犯罪が行われる可能性があります。攻撃者がゼロデイ脆弱性を特定すると、狙いとなるシステムへの侵入手段を見つけ出します。多くの場合、信頼できる発信者に装ったメールなどを用いて、利用者にファイルを開くや悪意あるサイトへアクセスするよう促します。そうすることで、攻撃者のマルウェアがダウンロードされ、システムに侵入して機密情報を狙います。

脆弱性が発見されると、メーカーは攻撃を防ぐために修正を試みます。しかし、問題の発見には日、週、あるいはそれ以上の時間を要する場合があり、ゼロデイ修正が提供された後も、すぐに更新が行われるわけではありません。最近では、メーカーよりも早く攻撃者が脆弱性を悪用するケースが増えています。

悪用技法はダークウェブで高額で取引されることもあります。悪用が発見され修正された場合、それはもはやゼロデイのリスクとは呼ばれません。ゼロデイ攻撃は、攻撃者しか狙っていないため特に危険です。一度組織に侵入されると、攻撃者は即座に攻撃を実行するか、最適なタイミングを待つことが可能です。

ゼロデイ攻撃は、修正プログラムが提供されるまで対応ができないため非常に危険です。貴社が使用しているソフトウェアが長期間、あるいは数ヶ月間修正されない可能性もあります。さらに、修正が提供された後も、更新が遅れるケースが少なくありません。

その間、攻撃者は修正が適用される前にできるだけ多くのシステムを狙おうと執拗に試みます。これにより、貴社の情報は通常よりも高いリスクに晒されることになります。

脆弱性の修正プログラムがリリースされた際には、貴社のシステムを常に最新状態に更新することでリスクを低減できます。さらに、更新プログラムだけに頼らず、信頼のおけるメーカーの強力なウイルス対策ソフトを併用すれば、マルウェアやハッキング、その他多くのサイバー脅威から日々守ることが可能です。

‍

標的となるもの：ゼロデイ悪用に注意すべきのは誰か

ゼロデイ悪用はその広範な影響範囲ゆえ、誰にでも問題を引き起こす可能性がありますが、特にサイバー犯罪者の狙いに遭いやすい対象がいくつか存在します。例えば、

• 脆弱なデスクトップやノートPCを使用し、攻撃に弱いブラウザやOSを採用している場合、システムが侵害される恐れがあります。攻撃者は既存の脆弱性を利用して、大規模なボットネット形成を狙います。
• 特許出願中など、貴重な個人情報やビジネスデータを保有している場合は、特に注意が必要です。ハッカーはシステムの脆弱性を突き、攻撃を仕掛ける可能性があります。

個人だけでなく、組織やネットワークも標的となり得ます。例えば、以下のようなケースが考えられます：

• 大手企業やビジネス
• 政府系の営利・非営利組織
• 国家機関や政治関連の組織
• IoTデバイス（ネットワーク全体を狙うため）

これらの標的に侵入するため、ハッカーは貴社のネットワーク内にある無防備なエンドポイントや、以下のような対象を狙うことがあります：

• ハードウェアデバイス
• ファームウェア
• ウェブブラウザ
• ビジネス向けSaaS・デスクトップアプリ
• オープンソースソフトウェア・コンポーネント
• サードパーティ製品

ここまで、ゼロデイ悪用の対象となる範囲の広さについてご理解いただけたかと思います。さらに、攻撃者が必ずしも特定の目的を持って行動しているわけではない点にも留意が必要です。つまり、標的型と非標的型のゼロデイサイバー攻撃が存在します。

標的型サイバー攻撃は、例えばデータの窃盗、改ざん、漏洩など明確な目的を持って実施されます。一方、非標的型攻撃は、既存の脆弱性を利用して広く悪用するか、単なる実験的な試みとして行われます。例えば、攻撃者が人気のOSに問題を発見した場合、特定のユーザーを問わず、そのOS利用者全体を狙う可能性があります。

非標的型のゼロデイ攻撃は、特定の著名な個人や団体を狙うわけではありません。公的機関、セキュリティ組織、企業、政府関連機関などを直接狙うことは少ないものの、結果としてこれらの対象が被害に遭うこともあり、被害の大きさは標的型と同様になる場合があります。

‍

ゼロデイ攻撃の検出方法

ゼロデイ攻撃が長期間発見されないほど、攻撃者は攻撃を続けやすくなり、発見は非常に難しくなります。エンジニアは、以下の兆候に注意を払っています。

icon_01 奇妙なソフトウェアの挙動。メーカーは過去の攻撃時の動きを解析し、他の製品で同様の挙動が見られないか確認します。異常なコマンドの連続など、コード実行に繋がるパターンがあれば、攻撃が進行中である可能性があります。

icon_02 危険な数値の統計。過去の攻撃時と同様の速度や量でデータが移動している場合、何か異常があるかもしれません。攻撃は大規模なセキュリティ更新の翌日に発生することが多く、これも検出の指標となります。

icon_03 過去のセキュリティパッチの署名。メーカーは、最近悪用された脆弱性に残る痕跡を確認します。これらは指紋のようなもので、他の場所でも類似した特徴が見つかる可能性があります。エンジニアはこれを手掛かりに脆弱性を検出し、修正するのです。

上記の方法はどれも盲点があるため、通常は複数の手法を組み合わせて用いられます。

攻撃は多様な経路から行われるため、包括的な防御対策が貴社を守る唯一の手段となることがあります。Avast Free Antivirusは端末を常時監視し、攻撃の兆候を検知。その結果、攻撃者がマルウェアを端末に侵入させるのを即時に防ぎます。

ゼロデイ攻撃対策

ゼロデイ攻撃は突然行われるため、効果的な対策として以下の予防策が挙げられます：

• 製品およびOSを常に最新状態に保つ。メーカーは最新版で新たに発見された脆弱性への対策パッチを提供しているため、最新の状態を維持することが安全性向上に繋がります。
• 必要最小限のアプリのみを使用する。使用するソフトウェアが増えると、潜在的な脆弱性も増えるため、不要なアプリを削減することでリスクを低減できます。
• ファイアウォールを利用する。ファイアウォールはゼロデイ攻撃からシステムを守る上で重要な役割を果たし、必要な通信のみを許可する設定が効果的です。
• 組織内で従業員にセキュリティ教育を実施する。多くのゼロデイ攻撃は人的ミスを突いて行われるため、適切なセキュリティ意識を持つことが、ネット上での安全確保や企業全体の防御に寄与します。
• 包括的なウイルス対策ソフトを利用する。

マルウェアやその他の脅威を検出・遮断することで、優れたウイルス対策ソフトはゼロデイ攻撃からの防御に役立ちます。Avast Free Antivirusはヒューリスティック方式を採用しており、通常の攻撃パターンや兆候を検出して潜在的な脅威を識別します。

世界におけるゼロデイ攻撃の例

Stuxnetはルートキットを利用するPCワームで、2009年に多くの日常利用されるソフトウェアの脆弱性を悪用し、イランの原子力プログラムに大きな被害を与えました：

Microsoft Windows

信じがたいことに、日常的にメール送信やウェブ閲覧に利用されるOSが、原子力施設を破壊し国際的な混乱を引き起こすために使われたのです。非常に驚くべき話です。

Sony Picturesは、2014年に未公開コンテンツや機密個人情報が大量に流出するゼロデイ攻撃の標的となり、結果として企業全体のシステムが破壊され、多大な損害を被りました。

これらの攻撃は企業や政府だけの問題ではなく、一般の利用者にも影響を及ぼす可能性があります。ここで、一般のユーザーにも直接影響があったゼロデイ攻撃の例を見てみましょう。

2017年、Microsoft Wordはゼロデイ悪用により、個人のアカウントが危険に晒される被害が発生しました。被害に遭ったのは、誤って悪意あるWord文書を開いてしまった一般ユーザーでした。その文書は「heap distant substance」という短いメッセージを表示し、他のプログラムからの外部アクセスを示すポップアップを出しました。

ユーザーが「はい」をクリックすると、その文書はDridexという悪質なマルウェアをPCに仕込むようになりました。Dridexは、利用者がオンラインバンキングにサインインした際に、ログイン情報を盗み出す仕組みです。

決して暗い話だけではありません。こうした攻撃を防ぐ最も有力な対策は、最終的には一般の利用者にかかっています。Microsoft Wordの攻撃例が示すように、被害者が速やかに対応（リンクなどをクリックする）することで、悪意ある文書がマルウェアをPCに仕込む前に被害を防げる可能性があります。