ゼロデイ攻撃とは
ゼロデイ攻撃(Zero-Day Attack)とは、ソフトウェアやシステムにセキュリティ上の欠陥(脆弱性)が発見された際、その欠陥を修正するためのプログラム(パッチ)が提供される「前」に行われるサイバー攻撃のことです。つまり、修正プログラム提供前の無防備な状態を狙う攻撃を指します。
通常、脆弱性が発見されると、開発元(ベンダー)はそれを修正するパッチを作成し、ユーザーに配布します。しかし、脆弱性の発見からパッチの提供・適用までには、どうしてもタイムラグが生じます。ゼロデイ攻撃は、この防御手段が確立されていない空白期間を狙い撃ちにするため、非常に厄介な脅威です。
「ゼロデイ(0-day)」の由来
「ゼロデイ」という言葉は、対策するための猶予日数が「0日(ゼロ日)」であることに由来しています。ベンダーが脆弱性の存在を公表し、対策を呼びかけるその日、あるいはそれより前に攻撃が行われるため、ユーザー側には事前に対処する時間がほとんどありません。
ゼロデイ攻撃と脆弱性・Nデイ攻撃の違い
ゼロデイ攻撃を正しく理解するには、脆弱性やNデイ攻撃との違いを押さえることが重要です。ここでは、それぞれの意味と違いを解説します。
脆弱性(セキュリティホール)との違い
脆弱性(セキュリティホール)とは、OSやソフトウェア、ネットワーク機器などに存在する不具合や設計上の欠陥、設定ミスなどによるセキュリティ上の弱点を指します。
一方、ゼロデイ攻撃は、その脆弱性を悪用して実際に不正侵入やマルウェア感染を狙う「攻撃」のことです。つまり、脆弱性は攻撃の原因となる弱点であり、ゼロデイ攻撃はその弱点をパッチ提供前に突く行為という違いがあります。
Nデイ攻撃との違い
Nデイ攻撃とは、修正パッチがすでに公開された既知の脆弱性を狙う攻撃です。ゼロデイ攻撃との最大の違いは、「修正パッチが公開されているかどうか」にあります。
- ■ゼロデイ攻撃
- 脆弱性が発見されてからパッチが公開される前に行われる攻撃。防御手段がなく、防ぐのが極めて困難です。
- ■Nデイ攻撃
- パッチが公開された後(N日後)に行われる攻撃。パッチの適用を怠っているシステム(未適用の環境)が標的になります。
Nデイ攻撃は、ユーザー側が適切にアップデート管理(パッチ適用)を行っていれば防げますが、ゼロデイ攻撃はパッチが存在しないため、根本的な解決策がない状態での対応が求められます。
ゼロデイ攻撃が危険視される理由
ゼロデイ攻撃は、対策が整う前の脆弱性を狙うため、企業に深刻な影響を及ぼすおそれがあります。ここでは、その理由を解説します。
発見から対処までの時間が極端に短い
前述の通り、ゼロデイ攻撃はパッチが提供される前の無防備な状態を狙うため、攻撃を受けた時点で根本的な防御策が存在しません。ベンダーが急いで暫定的な回避策(ワークアラウンド)を発表するまでの間、システムは危険にさらされ続けます。
従来型のシグネチャ検知では防ぎにくい
従来のアンチウイルスソフトやファイアウォールは、過去のウイルスの特徴(シグネチャ)をリスト化し、それと一致するものをブロックする「シグネチャ・ベース」の検知方式が主流でした。しかし、ゼロデイ攻撃は「未知の攻撃手法」を用いるため、既存のパターンファイルには該当せず、すり抜けてしまう可能性が高いです。
広く使われる製品ほど影響が甚大になる
世界中で広く利用されているOSやブラウザ、VPN機器、または多くのシステムに組み込まれている共通ライブラリ(オープンソースのプログラム部品など)にゼロデイ脆弱性が発見された場合、その影響範囲は計り知れません。攻撃者は一度の手法で無数のターゲットを狙えるため、被害が世界規模で連鎖するおそれがあります。
ゼロデイ攻撃の代表的な手口・侵入経路
ゼロデイ攻撃は、メールやWebサイト、公開機器、委託先など、さまざまな経路を通じて侵入します。ここでは、代表的な侵入経路と手口を解説します。
標的型メール
業務に関連する自然な文面を装ったメール(標的型攻撃メール)を送りつけ、添付ファイルを開かせたり、本文中の不正なURLをクリックさせたりする手口です。ゼロデイ脆弱性を悪用したマルウェア(悪意のあるソフトウェア)が仕込まれており、ユーザーが気づかないうちに感染します。
改ざんサイト・水飲み場攻撃
正規のWebサイトに脆弱性を突いて不正なコードを埋め込み、サイトを閲覧しただけでマルウェアに感染させる手法です(ドライブバイダウンロード)。特に、標的企業の従業員がよく閲覧する業界関連サイトなどをあらかじめ改ざんして待ち伏せする手口は、「水飲み場攻撃」と呼ばれます。
VPN機器や公開サーバ経由
テレワークの普及により、外部から社内ネットワークに接続するためのVPN機器やリモートデスクトップ、外部に公開されているWebサーバが狙われるケースが急増しています。これらの機器のソフトウェア(ファームウェア)に未知の脆弱性があると、認証を突破されて内部ネットワークに直接侵入されてしまいます。
ソフトウェア更新やサプライチェーン(委託先)経由
正規のソフトウェアのアップデート配信サーバが侵害され、更新プログラムにマルウェアが混入される手口もあります。また、セキュリティ対策が堅牢な大企業を直接狙うのではなく、関連企業や取引先、業務委託先など(サプライチェーン)の脆弱なシステムを踏み台にして、本命のターゲットに侵入するケースも増えています。
ゼロデイ攻撃の主な被害事例
ゼロデイ攻撃は、実際に世界中の企業や組織に大きな被害をもたらしてきました。ここでは、ゼロデイ攻撃の脅威が広く認識されるきっかけとなった代表的な事例を紹介します。
EternalBlue / WannaCry(2017年)
Windowsのファイル共有プロトコル(SMB)の脆弱性を悪用する攻撃ツール「EternalBlue」が流出し、それを利用したランサムウェア(身代金要求型マルウェア)「WannaCry」が世界中で猛威を振るいました。パッチは提供されていたものの、未適用の端末が多く、医療機関や製造業などでシステム停止を招く甚大な被害をもたらしました。
ProxyLogon(2021年)
ProxyLogonは、Microsoft Exchange Server(メールサーバ)に存在したゼロデイ脆弱性群の総称です。この脆弱性を悪用されると、攻撃者は遠隔からサーバを乗っ取り、情報の窃取やマルウェアの展開を行えました。世界中の多くの組織が影響を受け、早急なパッチ適用や設定変更が呼びかけられました。
Log4Shell(2021年)
Log4Shellは、Javaベースのログ出力ライブラリ「Apache Log4j」に発見された極めて深刻なゼロデイ脆弱性です。Log4jは世界中のさまざまなシステムやWebサービスで広く利用されていたため、その影響範囲の広さと攻撃の容易さから、「過去最大級の脆弱性」ともいわれました。ベンダーだけでなく、自社システムにLog4jが組み込まれているかどうかの調査や対応に、多くの企業が追われました。
参考:情報セキュリティ白書 2022|IPA 独立行政法人 情報処理推進機構
ゼロデイ攻撃を受けた疑いがある場合の初動対応
ゼロデイ攻撃が疑われる場合は、初動対応の遅れや判断ミスが被害拡大につながるおそれがあります。被害を最小限に抑えるためにも、落ち着いて適切な手順で対応することが重要です。
直ちにネットワークから遮断する
異常を検知した端末やサーバは、ただちに社内ネットワークおよびインターネットから切り離します。例えば、LANケーブルを抜いたり、Wi-Fiをオフにしたりして、外部や他端末との通信を遮断します。これにより、他の端末への感染拡大や、外部の指令サーバ(C&Cサーバ)との通信、データの外部流出を物理的に防ぎます。
初動対応でやってはいけない行動
被害拡大や調査困難につながるため、次のような行動は避けましょう。
- ■慌てて電源を落とさない・再起動しない
- 焦ってパソコンの電源を強制終了したり再起動したりすると、メモリ上に残っている攻撃の痕跡(証拠ログ)が消去されてしまい、その後の原因調査が困難になります。また、再起動をトリガーにファイル暗号化を実行するランサムウェアも存在します。
- ■独断で復旧しようとしない
- 専門知識のないまま自己判断でファイルを削除したり、バックアップから戻そうとしたりすると、被害を悪化させるおそれがあります。
セキュリティ担当者・部門への報告
速やかに自社の情報システム部門やセキュリティ担当者(CSIRTなど)に報告します。「いつ・どの端末で・どのような事象が起きたか」を冷静に伝え、組織のインシデント対応マニュアルに沿って指示を仰ぎます。
証跡保全と影響範囲の特定
専門家や担当部門の手により、ログの保全(フォレンジック調査の準備)やウイルススキャンを実施し、どのような経路で侵入され、どの情報が被害に遭ったのかといった影響範囲を特定します。状況によっては、外部のセキュリティ専門機関や警察、関係省庁への報告が必要になる場合もあります。
ゼロデイ攻撃に備えて事前に進めたい対策
ゼロデイ攻撃は、修正パッチが公開される前に被害が発生するため、事前の備えが重要です。攻撃を完全に防ぐのは難しいからこそ、パッチ適用だけに頼らない多層防御の考え方が求められます。
脆弱性管理とIT資産の把握
まずは、自社がどのようなハードウェアやOS、ソフトウェア、クラウドサービス、ネットワーク機器を利用しているかを正確に把握(IT資産管理)することが重要です。そのうえで、脆弱性情報が発表された際に自社環境への影響を迅速に照合し、パッチや回避策を適用できる運用体制を整えます。
IT資産管理システムについて詳しく知りたい方は、以下の記事をご覧ください。導入メリットや費用相場、代表的な製品を紹介しています。
侵入を防ぐ・検知するソリューションの導入(IDS/IPS、サンドボックス)
ネットワークの境界防御としては、不正な通信を検知・遮断するIDS(侵入検知システム)/IPS(侵入防御システム)や、次世代ファイアウォール(NGFW)の導入が有効です。また、疑わしいファイルを安全な仮想環境(サンドボックス)で実際に動かし、その振る舞いを確認することで、未知のマルウェアを検知する仕組みも重要です。
IDS/IPSやWAF製品について詳しく知りたい方は、以下の記事をご覧ください。製品の特徴や機能、メリットなどを解説しています。
エンドポイントでの監視と対応(EDR / XDR)
従来のアンチウイルス(EPP)をすり抜けて端末(PCやサーバ)に侵入された場合に備え、EDR(Endpoint Detection and Response)の導入も有効です。EDRは、端末上の不審な動作や振る舞いを常時監視し、攻撃の兆候を早期に検知して、ネットワーク隔離などの対応を支援します。さらに、ネットワークやクラウドなど複数の領域を横断的に監視するXDRも注目されています。
EDR製品について詳しく知りたい方は、以下の記事をご覧ください。主要製品のほか、主な機能やメリット、選び方などを解説しています。導入判断にも役立ちます。
脅威インテリジェンスの活用
世界中のサイバー攻撃の手口や攻撃者グループの動向、新たな脆弱性に関する最新の脅威情報(脅威インテリジェンス)を収集・分析することで、自社への攻撃リスクを早期に察知しやすくなります。得られた情報をセキュリティ機器のルールや監視体制に反映させることで、被害の未然防止や早期対応につなげられます。
脅威インテリジェンスについて詳しく知りたい方は、以下の記事をご覧ください。主な機能や活用方法、選び方などを解説しています。
委託先管理と従業員教育
サプライチェーンリスクに対応するには、取引先や業務委託先に対しても一定のセキュリティ基準を満たすよう求め、必要に応じて指導や監査を行うことが重要です。また、標的型メール訓練などの従業員教育を定期的に実施し、組織全体のセキュリティ意識を高めることも欠かせません。
セキュリティ研修について詳しく知りたい方は、以下の記事をご覧ください。導入メリットや実施方法、サービスの選び方などを解説しています。
ゼロデイ攻撃対策製品・サービスを選ぶ際の比較ポイント
ゼロデイ攻撃対策製品やサービスは、機能や運用範囲が製品ごとに大きく異なります。自社に合った対策を選ぶためには、検知精度だけでなく、運用のしやすさやサポート体制まで含めて比較することが重要です。
検知能力と可視化の精度
ゼロデイ攻撃のような未知の脅威に対応するには、どの程度の精度で検知・分析できるかを確認することが重要です。特に、攻撃の兆候をどこまで可視化できるかは、迅速な初動対応にも直結します。
- ●未知の脅威(シグネチャにない攻撃)を、振る舞い検知やAI/機械学習を用いてどれだけ高精度に検知できるか。
- ●サンドボックス機能など、不審なファイルを安全に解析する仕組みが備わっているか。
- ●攻撃の侵入経路から影響範囲までを、管理画面上で直感的に可視化・追跡(フォレンジック)できるか。
運用負荷と自動化(インシデント対応支援)
高機能な製品でも、運用負荷が高すぎると継続的な活用は難しくなります。日常の監視業務をどれだけ効率化できるか、自動化によって初動対応を支援できるかも重要な比較ポイントです。
- ●アラートが過剰に発生し(過検知・誤検知)、管理者の対応が追いつかなくなる事態(アラート疲労)を防げるか。
- ●脅威を検知した際、該当端末のネットワーク隔離や悪意あるプロセスの停止を自動的に実行(またはワンクリックで実行)できるか。
- ●既存のIT資産管理ツールやSIEM(統合ログ管理システム)など、他のセキュリティ製品との連携性(API連携など)が高いか。
サポート体制と専門知識の補完(MDRサービスなど)
自社だけでゼロデイ攻撃に対応するのが難しい場合は、ベンダーの支援範囲も確認しておきたいポイントです。特に、専門人材が不足している企業では、監視や初動対応を補完できるサービスの有無が導入後の安心感につながります。
- ●自社内に高度なセキュリティ専門人材(セキュリティアナリスト)が不足している場合、ベンダーやパートナー企業による運用代行・監視サービス(MDR:Managed Detection and Response)が提供されているか。
- ●緊急インシデント発生時に、24時間365日のサポートや、専門家による初動対応支援・復旧支援を受けられるか。
まとめ
ゼロデイ攻撃は、脆弱性が発見されてから修正プログラム(パッチ)が提供・適用されるまでの空白期間を狙うサイバー攻撃です。事前に完全な対策を講じにくいうえ、標的型メールや改ざんサイト、VPN機器、サプライチェーンなど多様な経路から侵入されるおそれがあり、企業にとって深刻な脅威といえます。
そのため、被害を最小限に抑えるには、攻撃を受けた際の初動対応をあらかじめ整理しておくとともに、脆弱性管理や境界防御、EDR/XDR、脅威インテリジェンス、委託先管理、従業員教育などを組み合わせた多層防御を進めることが重要です。自社の体制や課題に合った対策製品・サービスを比較検討し、継続的に防御力を高めていきましょう。
