CACHATTO COLUMNカチャットコラム

CACHATTO トップ>
CACHATTO COLUMN>
【事例あり】ゼロデイ攻撃とは？仕組みや手口、対策方法を解説

【事例あり】ゼロデイ攻撃とは？仕組みや手口、対策方法を解説

2024.05.01投稿、2024.05.01更新

ゼロデイ攻撃は、修正プログラムのない脆弱性を突いた攻撃です。明確な対策が存在しないため、「最も防ぐのが難しい攻撃」といわれています。しかし、ゼロデイ攻撃の件数は年々増加しているため、企業側でなんらかの対応をとらなければいけません。
ゼロデイ攻撃には明確な対策がなく、1つのツールや対処法で防ぐことはできません。いくつかの方法を組み合わせて被害を受けるリスクを下げる必要があります。そのためには、ゼロデイ攻撃の仕組みや手口をよく理解することが必要です。
ここでは、ゼロデイ攻撃の概要と手口、被害の種類や対策を、事例を交えて紹介します。

ゼロデイ攻撃とは
ゼロデイ攻撃の主な手口
ゼロデイ攻撃による被害の種類
ゼロデイ攻撃の被害事例
ゼロデイ攻撃への対策方法
ゼロデイ攻撃にも基本的な対策の徹底が重要

ゼロデイ攻撃とは

ゼロデイ攻撃とは、まだ修正プログラムが発表されていない脆弱性（セキュリティホール）を突いたサイバー攻撃のことです。修正プログラムという明確な対策がないので、対処するのが難しいとされています。

通常、修正プログラムの配布を開始した日が1日目です。修正プログラム配布前がゼロデイ（Zero day）に相当します。ゼロデイの間に攻撃するので「ゼロデイ攻撃」と呼ばれるのです。

ゼロデイ攻撃の基本的な流れ

どのようなアプリケーションにも、なんらかのバグは存在します。それが脆弱性となり、ゼロデイ攻撃の対象となります。攻撃の流れをタイミング別に説明します。

ゼロデイ攻撃が発生するタイミングは次の2つに分かれます。

脆弱性がベンダーに発見されていない時点
脆弱性がベンダーに発見され、修正プログラムを開発中の時点

それぞれの場合でゼロデイ攻撃が起こる流れを紹介します。

脆弱性がベンダーに発見されていない時点
攻撃者がベンダーやユーザーより先に脆弱性を発見し、攻撃を仕掛けます。

攻撃者が脆弱性を発見します。
発見した脆弱性を突いて、ゼロデイ攻撃が行われます。
被害が話題になることでベンダーが脆弱性に気づき、修正プログラムの開発を始めます。
修正プログラム配布までの間に、さらにゼロデイ攻撃が行われます。
ベンダーが修正プログラムを配布することで、被害が減少していきます。

脆弱性がベンダーに発見され、修正プログラムを開発中の時点
ベンダーが修正プログラムを開発している間に攻撃者が攻撃を始めます。

ベンダーが脆弱性に気づく前、またはベンダーが脆弱性に気づいて修正プログラムを開発している間に、攻撃者が脆弱性を発見します。
ベンダーが脆弱性に気づき、修正プログラムの開発を始めます。
修正プログラムが配布されるまでに、ゼロデイ攻撃が行われます。
ベンダーが修正プログラムを配布することで、被害が減少していきます。

修正プログラムが配布されてもそれに気づかないユーザーがいる場合、ゼロデイ攻撃の被害は増え続けます。そのため、ベンダーによる修正プログラムについての周知が不可欠です。

ゼロデイ攻撃が増加している背景

独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2024」では、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」は5位です。2023年は6位、2022年は7位と、ゼロデイ攻撃の被害は増加しつつあります。

^{※IPA 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2024」より抜粋}

これには、次のような背景があります。

既知の脆弱性に対しては、修正プログラムの配布などの対策が強化されてきていること
テレワークやIoT機器の増加により、攻撃対象となる端末が増えていること
金銭以外にも、企業のイメージダウン、政治的理由などサイバー攻撃を行う理由が多様化していること
既知のもの、未知のものにかかわらず、脆弱性に関する情報や攻撃用のツールが入手しやすくなったこと

セキュリティリスクについては、以下の記事をご参照ください。

リモートアクセス環境でのセキュリティリスクとは？対策や接続方法を紹介

ゼロデイ攻撃の主な手口

ゼロデイ攻撃は、「標的型攻撃」と「ばらまき型攻撃」の2種類に大きく分けられます。

標的型攻撃
特定の企業や組織をターゲットにした攻撃です。時間をかけて社内ネットワークに侵入し、マルウェアに感染させたり不正アクセスを行ったりして、さらに大きな被害をもたらします。
ばらまき型攻撃
特定のターゲットではなく、不特定多数を対象とした攻撃です。金銭の窃取や個人情報の窃取などを目的とします。

また、ゼロデイ攻撃には以下のようなさまざまな手口があります。

悪意のあるメールの送信

標的型攻撃で多用されますが、ばらまき型攻撃でも使われます。メールにファイルを添付してマルウェアを配布したり、フィッシングサイトへ誘導したりする手口です。

ソフトウェアの脆弱性を利用した攻撃

OS、ミドルウェア、アプリケーションなどのソフトウェアに存在する脆弱性を突いた攻撃です。クラウドサービスの脆弱性を突いたものもあります。

最近多くの被害を出したのは、VPN機器のファームウェアの脆弱性を突いた攻撃です。

VPNのセキュリティリスクについては、以下の記事をご参照ください。

VPNのセキュリティリスクとは？その対策と事故事例を紹介

Webサイトの改ざん

Webサイトを改ざんし、次のような改変を行います。

入力される個人情報や決済情報を攻撃者に送信させて窃取する
Webサイトからマルウェアを拡散する
リンクからフィッシングサイトに誘導する

サプライチェーン攻撃

大手企業のサプライヤー（サプライチェーンに組み込まれている企業）を攻撃し、社内ネットワークに侵入する攻撃です。そこからターゲットとなる企業のネットワークに侵入し、さらに被害を広げていきます。

サプライヤーは比較的セキュリティ対策が甘いので、狙われやすいのです。

サプライチェーン攻撃については、以下の記事をご参照ください。

【事例あり】サプライチェーン攻撃とは？最新動向や手口、対策方法を解説

ゼロデイ攻撃による被害の種類

ゼロデイ攻撃を受けることで、次のような被害を受けるリスクがあります。

マルウェア感染

社内ネットワーク上の端末がマルウェアに感染させられることです。マルウェアとは、悪意のあるプログラム、不利益をもたらすプログラムを指します。

マルウェアに感染すると、認証情報の窃取、情報漏洩、システムの予測しない動作などのさまざまな被害がもたらされます。

不正アクセス

アクセス権限のない、悪意のあるユーザーによって社内ネットワークに侵入されることです。

不正アクセスは、さらに情報漏洩、改ざん、破棄、サービス停止などの被害をもたらします。

不正アクセスについて詳しくは、以下の記事をご参照ください。

不正アクセスとは？よくある被害例や効果的なセキュリティ対策の方法を解説

情報漏洩、改ざん、破棄

サーバーやほかの端末にあるデータの窃取、公開、改ざん、破棄などに遭うことです。企業の情報が悪用されるだけでなく、不正なデータによってシステムが停止することもあります。

また、情報漏洩によって取引先や顧客にも被害がおよぶことも多いです。

金銭の奪取

まず、企業情報の暗号化やロックをされ、利用できないようにされます。さらに情報を人質にして身代金を奪取されるというものです。

この場合も、情報漏洩やサービスの停止が発生する恐れがあります。

事業停止、サービスの提供停止

マルウェア感染や不正アクセスの結果、情報の改ざんやサーバーの停止が発生し、事業そのものが停止することもあります。

これによって、被害にあった企業だけでなく、その影響を受けた顧客から損害賠償請求を受けることも多いです。

企業の社会的信用の低下

社内ネットワークへの不正アクセスや情報漏洩、さらに事業停止などが起こると、企業としての信用が低下します。現在の顧客との取引停止や、新規顧客獲得の失敗などにつながるリスクもあります。

法的責任

サイバー攻撃にあうと、情報漏洩や事業停止により顧客に損害を与えたり、社内ネットワークを経由して別のサイバー攻撃が行われたりすることもあります。

そのため、被害者でありながら加害者にもなってしまい、法的責任を追及されることもあります。

サイバー攻撃の種類については、次の記事もご参照ください。

サイバー攻撃の種類にはどんなものがある？最近の動向や被害事例も紹介

ゼロデイ攻撃の被害事例

実際に起こったゼロデイ攻撃の被害事例をいくつか紹介します。

Firefoxの脆弱性を突いた攻撃

2019年、Firefoxに脆弱性が2つ発見されています。1月には認証に関する脆弱性が、6月にはJavaScriptの処理に関する脆弱性が発見されました。

6月に発見された脆弱性では、標的型攻撃と合わせて海外のある暗号資産取引所が攻撃されています。

VPNの脆弱性を突いた攻撃

2019年以降、VPN機器の脆弱性を利用したゼロデイ攻撃が増え、多くの被害が出ています。リモートワークの増加により、VPNの利用が増えたことも要因です。

この攻撃によりVPN接続を行うユーザーの認証情報を窃取され、そこから機密情報の窃取、情報漏洩、マルウェア感染などさまざまな被害が広まりました。

修正プログラムが配布されてからも、VPNのファームウェアをアップデートして修正プログラムを適用していないユーザーが被害にあっています。

メールシステムの脆弱性を突いた攻撃

2023年、国のサイバーセキュリティセンターが利用しているメールシステムが利用している機器に、メーカー未確認の脆弱性があり、そこを突いたゼロデイ攻撃を受けました。メールに関するデータが漏洩した可能性があるということです。

ゼロデイ攻撃への対策方法

ゼロデイ攻撃に対しては、修正プログラムがまだないため、完璧な対策はありません。そのなかでもできる対策を行うことが重要です。

ゼロデイ攻撃をできるだけ防ぐ対策

ゼロデイ攻撃のリスクを小さくするためには、次のような対策があります。

ソフトウェアの更新、修正プログラムの適用
既知の不具合や脆弱性をなくすことで、古い脆弱性を突いた攻撃を防ぎます。
サポート切れのソフトウェアを利用しない
サポート切れということは、脆弱性がそのまま修正されないということです。ベンダーがサポートしていて修正プログラムが配布されるソフトウェアに切り替えましょう。
アクセス権限を適切に設定する
機密性の高い情報へのアクセス権は最小限にとどめることで、情報漏洩のリスクを小さくします。
EDRを導入してエンドポイントを保護する
EDR（Endpoint Detection and Response）によってサイバー攻撃の入り口を保護することで、ゼロデイ攻撃に限らず、攻撃者の侵入を防ぎます。
エンドポイントについて詳しくは、以下の記事をご参照ください。

なぜエンドポイントセキュリティが重要？その理由や選び方などを紹介

サンドボックスを導入する
ほかの環境から独立した仮想領域を構築し、怪しいプログラムはその領域内でのみ動作させます。マルウェアの感染を防いだり、不正なプログラムを発見したりすることが可能です。
ゼロトラストセキュリティの導入
いつも利用している端末やユーザーでも信用せず、すべてのアクセスに厳しい認証を行うことで不正アクセスを防ぎます。
ゼロトラストについて詳しくは、以下の記事をご参照ください。

ゼロトラストとは？メリットやデメリット、実現するためのポイントを紹介

WAF、IDS/IPSなどを導入して攻撃を検知する
WAF（Web Application Firewall）、IDS（不正侵入検知システム）/IPS（不正侵入防止システム）など複数のツールを導入し、アクセスのさまざまな段階で多層的にサイバー攻撃を防ぎます。
従業員に対するセキュリティ教育を行う
悪意のあるメールやフィッシングサイトなどの罠にかからないように、ユーザーである従業員のITリテラシーの向上を図ります。

ゼロデイ攻撃を受けた後の対処は？

ゼロデイ攻撃を受けた場合もできる限り被害の拡大を防ぐために、次のような対処が必要です。

ネットワークからの切断
攻撃された端末やWebサイトなどを社内ネットワークから切断し、それ以上被害が拡大することを防ぎます。
被害報告
被害にあったこと、被害にあった端末、症状などを社内のセキュリティ担当に報告し、社内に周知することで被害の拡大を防ぎます。

ゼロデイ攻撃にも基本的な対策の徹底が重要

ゼロデイ攻撃は、修正プログラムが配布される前に行われる攻撃です。修正プログラムという対策を実行できないため、ときには大きな被害をもたらします。

ゼロデイ攻撃でも通常のサイバー攻撃と同じように、アプリケーションを最新の状態に保つ、アクセス権限を限定するなどの基本的な対策を徹底することで、ある程度被害を小さくすることができます。基本的な対策は、ゼロデイ攻撃だけでなくすべてのサイバー攻撃に対して有効です。これらの対策はもれなく実行しましょう。

しかし、情報システム部門のスタッフが不足している企業も多いものです。その場合は、ゼロデイ攻撃に対応した多層的で多面的なセキュリティ対策も行えません。

安全な環境でのリモートアクセスツールを展開するCACHATTOの「CACHATTO SecureContainer」なら、管理に手間がかからず、高い知識がなくても、安全な接続を確立可能です。作業はPC上の隔離領域で行い、作業終了にはデータを削除することで、端末からの情報漏洩を防止できます。専用の環境を構築する必要もなく、低コストで利用可能です。
気になる方は、以下のリンクから詳細をご確認ください。