ゼロデイ攻撃とは?
ゼロデイ攻撃とは、セキュリティホールが発見されて、対策や情報公開される前に行われるサイバー攻撃です。
脆弱性が発見されてから、0日で攻撃されることからゼロデイ攻撃と呼ばれています。
ちなみに前述したセキュリティホールの特徴は、下記の通りです。
- 比較的簡単にウイルス感染やシステム侵入、乗っ取り、プログラム書き換えといった被害を受けやすい
- プログラム設計上の欠陥ともいえるが、バージョンを更新しながら修正されている
- 修正の緊急性が高い場合、修正プログラム「セキュリティパッチ」が配布されるケースがある
更新プログラムや情報を公開するタイミングで、ゼロデイ攻撃が増加する傾向があります。
ゼロデイ攻撃を防ぐには、公開されたプログラムをできるだけ速く適用するしかありません。
つまり、1日の猶予も許されないサイバー攻撃といえるでしょう。
ゼロデイ攻撃の種類
ゼロデイ攻撃の種類は、下記の2つです。
- ばらまき型攻撃
- 標的型攻撃
それぞれ解説していきます。
ばらまき型攻撃
ばらまき型攻撃とは、不特定多数に対して行うサイバー攻撃です。
「マルウェアが入ったメールの送信」「不正プログラムが組み込まれたWebサイトへの誘導」などによって、ウイルス感染を狙っています。
仮にメールやWebサイトを開くと、乗っ取りや金銭被害、個人情報流出といった危険性があるので注意しましょう。
こちらの記事では、マルウェアの特徴や感染後の挙動、絶対にすべき対策を解説しているので、ぜひ参考にしてください。
標的型攻撃
標的型攻撃とは、特定の企業・組織を標的としたサイバー攻撃です。
最も多く行われる電子メール攻撃「標的型攻撃メール」には、下記の攻撃パターンがあります。
- 個人情報や機密情報が搾取される
- 社内ネットワーク内に、マルウェアが侵入・拡散される
- メール・添付ファイルを開封すると、マルウェアに感染する
- 攻撃対象企業の関係者になりすまし、架空のメールを送信する
ベンダー側の脆弱性情報が公開される前は、発生する危険性があるので注意しましょう。
こちらの記事では標的型攻撃の主な手法や流れ、対策などを解説しているので、ぜひ参考にしてください。
ゼロデイ攻撃の手段は?
ここまで、ゼロデイ攻撃の概要や種類をお伝えしました。
続いて、ゼロデイ攻撃の手段を解説します。
- マルウェア感染
- 不正アクセス
それぞれ解説していきます。
マルウェア感染
ゼロデイ攻撃の手段として、マルウェア感染が挙げられます。
マルウェアに感染した際の危険性は、下記の通りです。
- 不審な添付ファイルを開封させられる
- 悪意のあるWebサイトを訪問させられる
- 自動的にスパイウェアやランサムウェアをインストールさせられる
本来であればウイルス対策ソフトウェアを活用して、感染を未然に防げます。
しかしゼロデイ攻撃では、既知のマルウェアと動作原理が異なるので、パターンによってマルウェアを認識しているウイルス対策ソフトウェアでの対策は難しいです。
不正アクセス
ゼロデイ攻撃は、不正アクセスによって攻撃される危険性があります。
具体例は、下記の通りです。
- ネットワーク機器への直接攻撃
- 添付ファイルの開封およびWebサイトへのアクセス
- 社内機器やシステム、ネットワークへの不正アクセス
機器に保存されている情報の剽窃が目的の場合もありますが、Webサイトの改ざん・マルウェア感染といった被害の波及も考えられます。
ゼロデイ攻撃への対策は?
ここまで、ゼロデイ攻撃の手段をお伝えしました。
続いて、ゼロデイ攻撃への対策を解説します。
- 基本的なセキュリティ対策の徹底
- サンドボックスの構築
- EDRの導入
- 暗号化・隔離
- 脆弱性の確認
それぞれ解説していきます。
基本的なセキュリティ対策の徹底
ゼロデイ攻撃への対策として、基本的なセキュリティ対策の徹底が挙げられます。
施策例は、下記の通りです。
- セキュリティ対策ソフトを導入する
- ソフトウェア・OSをこまめにアップデートして、最新状態を保つ
セキュリティ対策の実施によって、パッチ公開後の攻撃を防いだり、攻撃を受けた際に付随する被害を最小限に抑えたりできます。
しかし上記の施策だけで、完全にゼロデイ攻撃を防ぐことは難しい点を理解しておきましょう。
サンドボックスの構築
サンドボックスとは、ソフトウェアなどを通常の領域から仮想空間に隔離して、内部の動作を外部から観察できる仕組みです。
ファイルが安全であるかどうかを、解析・テストできます。
実際に動作させて、セキュリティ対策ソフトだけで検出できなかったマルウェアにも対応しています。
EDRの導入
ゼロデイ攻撃の対策には、EDR(Endpoint Detection and Response)の導入があります。
日本語では「エンドポイント検出対応」と呼ばれており、エンドポイントの挙動や脅威を監視・検知・対処するツールです。
EDRを導入してエンドポイントの使用状況・通信内容をリアルタイムで分析することで、迅速に異常を検知できるため、被害を未然に防げます。
つまり、攻撃を受けたあとの対策に軸足が置かれています。
暗号化・隔離
ゼロデイ攻撃に備えるために、重要情報の暗号化と隔離を行いましょう。
暗号化と隔離を行う理由は、攻撃を防ぎきれなかった際でも、被害を抑える仕組みが欠かせないためです。
ゼロデイ攻撃を受ける可能性のある領域へデータを保存せざるを得ない場合は、暗号化した状態で保存を行います。
ただし基本的に重要情報は、ゼロデイ攻撃の影響を受けない「隔離された領域」に保存しましょう。
脆弱性の確認
ゼロデイ攻撃を受けないためには、既存セキュリティに脆弱性がないか、セキュリティに精通していないか第三者に確認してもらいましょう。
第三者に依頼する理由は、社内のみで対策を行なっている場合、致命的な脆弱性に気づけていない可能性があるためです。
そのため自社内にセキュリティに詳しい部署がない場合は、脆弱性診断を第三者に依頼しましょう。
こちらの記事では、脆弱性ツールの選び方やおすすめのツールを19個紹介しているので、ぜひ参考にしてください。
もしゼロデイ攻撃をされたらどうすればいいのか?
ここまで、ゼロデイ攻撃への対策をお伝えしました。
続いて、ゼロデイ攻撃を受けた際の対応方法について解説します。
- ネットワークから切断する
- セキュリティ部署へ連絡する
- セキュリティ対策ソフトを稼働させる
それぞれ解説していきます。
ネットワークから切断する
ゼロデイ攻撃を受けた際は、攻撃対象となったWebサイトやデバイスをネットワークから切断しましょう。
具体的にとるべき対応は、下記の通りです。
- インターネットから切断する
- 社内ネットワークから切断する
- Webサイトの場合は一旦閉鎖する
攻撃者のWebサイトへのアクセスを遮断することはもちろんですが、ほかの利用者・デバイスへの感染拡大を防ぎましょう。
セキュリティ部署へ連絡する
ネットワークを切断して被害の拡大を防止できたら、セキュリティ部署へ迅速に連絡します。
セキュリティ部署へは、下記の2点を説明しなければいけません。
- 攻撃発覚や感染までに至る経緯
- 現在の対応状況
とにかくまずは、攻撃を受けた第一報を速やかに入れましょう。
また不正アクセスやマルウェア感染、情報漏洩が発生した際には、セキュリティ対策委員会への報告も必要です。
そのため報告時の対応手順をどのように進めるのか、関連部署を協議しておきましょう。
ちなみに報告様式は、「情報処理推進機構(IPA)の公式サイト」から確認が可能です。
セキュリティ対策ソフトを稼働させる
セキュリティ部署と情報を共有できたら、マルウェアを検知・駆除するためにセキュリティ対策ソフトを稼働させましょう。
基本的にセキュリティ対策ソフトを活用しますが、対応していないために、初期化が必要となるケースもあります。
仮に初期化を行った場合はデバイスやシステムを復旧できる反面、侵入ログも消えてしまうため、セキュリティ部署への相談は必須です。
さらにゼロデイ攻撃を受けた際は初期化するケースも考慮して、必要な情報のバックアップを日頃から行っておくとよいでしょう。
まとめ
今回は、ゼロデイ攻撃の概要や種類、手段・対策などを解説しました。
ゼロデイ攻撃とは、セキュリティホールが発見されて、対策や情報公開される前に行われるサイバー攻撃です。
攻撃の種類は、下記の2つです。
- ばらまき型攻撃
- 標的型攻撃
また攻撃手段には、マルウェア感染と不正アクセスがあります。
本記事でお伝えした攻撃を避けるための対策や受けた際の対応方法も参考にして、ゼロデイ攻撃への知識を深めてください。
【SNSフォローのお願い】
kyozonは日常のビジネスをスマートにする情報を毎日お届けしています。
今回の記事が「役に立った!」という方はtwitterとfacebookもフォローいただければ幸いです。
twitter:https://twitter.com/kyozon_comix
