ゼロ デイ攻撃とは? しくみや手口、対策を解説

はじめに、ゼロ デイ攻撃のしくみと脆弱性について解説します。

「ゼロ デイ攻撃 (Zero-day attack)」とは、OS (オペレーティング システム) やソフトウェアに見つかった、まだ情報公開や対策が講じられていない脆弱性 (セキュリティ ホール) をねらった攻撃のことです。脆弱性の修正パッチのリリース日を 1 日目とし、それ以前 (0 日目) に行われる攻撃のため、ゼロ デイ攻撃と呼ばれます。

ゼロ デイ攻撃はハッカーなど悪意のある第三者が、OS やソフトウェアのベンダーやユーザーよりも早く脆弱性を発見するところから始まります。続いて、発見された脆弱性を突く攻撃方法を検討したうえで、不正なプログラムを開発し、ゼロ デイ攻撃が開始されます。

脆弱性とは、コンピューターの OS やソフトウェアのプログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことをいいます。セキュリティ ホールとも呼ばれます。

まず、ゼロ デイ攻撃を未然に防ぐための事前対策を紹介します。

• OS やソフトウェアのアップデート OS やソフトウェアのアップデートには、見つかった脆弱性の修正プログラムも含まれています。また、ネットワーク関連機器についても、ファームウェアのアップデートで脆弱性の修正を行っています。
  アップデート情報をこまめにチェックし、常に最新版にするようにしましょう。
  また、サポートを終了した OS やソフトウェアはアップデートも終了します。そのため、見つかった脆弱性にも対応しませんので、サポートを終了したものは利用しないようにしましょう。
• MDM の導入 MDM (モバイル デバイス管理) を導入することで、社員が利用するスマートフォンやタブレットを一元管理し、社員個人に任せていた OS やソフトウェアのアップデートを一括で行うことができます。
  また、利用できるソフトウェアの制限や不正アプリのインストールを防止できるので、ゼロデイ攻撃を未然に防ぐことも可能です。
• WAF の導入 WAF (Web Application Firewall) は、Web アプリケーションに特化したセキュリティ ツールです。業務で利用する Web アプリケーションの脆弱性に対応し、外部からの攻撃を未然に防いでくれます。
• セキュリティ製品の導入 次世代アンチウイルス「NGAV (Next Generation Anti-Virus)」を導入することも、事前対策として有効です。
  従来のセキュリティ ソフトは、登録された既知のウイルスやマルウェアのパターンを照合して認識するため、未知のものには対応できませんでした。しかし、次世代型アンチウイルス ソフトの NGVA は、振る舞い検知や機械学習により従来のアンチウイルス ソフトでは防げなかった未知のウイルスやマルウェアへの感染も防ぎます。

次にゼロ デイ攻撃の疑いがある、あるいは受けてしまったときの対処方法を紹介します。

• サンドボックスの利用 サンドボックスとは、外部から受け取ったプログラムを保護された領域で実行することができるシステムのことです。
  近年、実際に実行してみないとマルウェアかどうかわからないものが増えています。セキュリティをくぐり抜けた添付ファイルをサンドボックス内で実行/検証することで、仮にマルウェアだった場合も社内システムへの影響を防ぐことが可能です。
• EDR の導入 EDR (Endpoint Detection and Response) は、社内ネットワークに接続されたパソコンやサーバー、スマートフォンなどに侵入したマルウェアやランサムウェアなどのサイバー攻撃を検出し、通知するシステムです。侵入してきた脅威をいち早く検知し、迅速に対応します。
• 侵入された際の対応 ゼロ デイ攻撃を受けると、マルウェア感染や不正アクセス、情報漏洩といった事態が発生します。まず、異変があったパソコンをネットワークから切り離し、セキュリティ ベンダーに相談します。
  また、必要に応じて、独立行政法人情報処理推進機構 (IPA) や個人情報保護委員会への報告を行います。