ゼロデイ攻撃(ゼロデイエクスプロイト)とは?その特徴と対策

定義

ゼロデイ脆弱性とは、過去に一度も確認されたことのないセキュリティ上の欠陥を指す言葉です。通常、攻撃者は、脆弱性を発見するまでシステムを調査します。もしそれが一度も報告されていないなら、開発者がそれを修正するのに0日しかなかったので、「ゼロデイ」と呼ばれます。セキュリティ上の欠陥を利用することがゼロデイ攻撃(ゼロデイエクスプロイト)であり、多くの場合、ターゲット・システムの侵害につながります。ゼロデイ脆弱性は、報告されるまでに数年間利用可能であることがあります。ゼロデイ脆弱性を見つけた攻撃者は、ダークネットマーケットでその脆弱性を販売することもあります。

ゼロデイ攻撃の仕組み

ゼロデイ脆弱性を利用するために使用されるエクスプロイト(攻撃)の種類は、発見された欠陥に依存します。1つのゼロデイ脆弱性を利用するために、複数のエクスプロイトを使用することもあります。例えば、中間者攻撃を利用してデータを傍受し、さらにクロスサイトスクリプティング(XSS)攻撃を実行することもあります。

ゼロデイのワークフローは、攻撃者が脆弱性を発見した時点から始まります。脆弱性は、ハードウェア、ファームウェア、ソフトウェア、またはその他の企業システム上に存在する可能性があります。以下のステップは、ゼロデイに関する一般的なワークフローです。

  1. ソフトウェアなどの開発者が、未知の脆弱性を含むアプリケーションまたはアプリケーションのアップデートを配布します。
  2. 攻撃者がソフトウェアをスキャンして脆弱性を発見します。または、攻撃者がリポジトリからダウンロードしたソースコードに不具合を発見します。
  3. 攻撃者は、脆弱性を悪用するためのツールやリソースを使用します。これは、攻撃者が作成したカスタムコードのソフトウェアである場合もあれば、すでに世に出回っているツールである可能性もあります。
  4. 脆弱性が発見されるまでに数年間悪用される可能性がありますが、最終的には研究者、一般市民、IT専門家が攻撃者のアクティビティを特定し、開発者に報告します。

ゼロデイという名称は、開発者が脆弱性にパッチを適用するまでの期間を表しています。発見された時点で、開発者がその脆弱性にパッチを適用するまでの期間は0日です。パッチが配布されると、その脆弱性はもはやゼロデイとはみなされません。開発者がパッチを配布しても、管理者やユーザーがアップデートをインストールしなければ、脆弱性は依然として有効であり、システムにはパッチが適用されないままとなる可能性があります。パッチが適用されていないシステムは、重大なデータ漏洩の主な原因となっています。例えば、Equifax社のデータ流出事件では、攻撃者が数億件の記録を流出させましたが、その原因はパッチを適用していない一般向けのウェブサーバーにありました。

ゼロデイ攻撃の検知方法

開発者はハッカーのようには考えないため、大規模なコードベースに少なくとも1つの脆弱性が存在することは珍しいことではありません。攻撃者は、何週間にもわたってソフトウェアをスキャンし、コードを見直し、間違いを探します。リモート攻撃者は、クラウドソフトウェアの脆弱性を見つけるために多くのツールを使用しますが、組織は不審な行動を検出し、ゼロデイ攻撃を阻止するための対策を講じることができます。

疑わしい行動を検出し、ゼロデイ攻撃を阻止するために利用できる戦略には、次のようなものがあります。

  • 統計に基づく監視: マルウェア対策ベンダーは、過去に検出されたエクスプロイトに関する統計情報を公開しています。これらのデータポイントを機械学習システムに入力することで、現在の攻撃を検出することができます。このタイプの検知は、現在の高度な脅威の発見に限界があるため、誤検知や偽陰性が発生する可能性があります。
  • 署名ベースの検知: すべてのエクスプロイトには、電子署名があります。電子署名は、人工知能システムや機械学習アルゴリズムに入力することで、過去の攻撃の派生を検出することも可能です。
  • 行動ベースのモニタリング: マルウェアは特定の手順でシステムを調査します。行動ベースの検出では、ネットワーク上で疑わしいトラフィックやスキャンが検出されると、アラートが送信されます。電子署名やメモリ内のアクティビティを分析するのではなく、デバイスとのインタラクションに基づいてマルウェアを特定するのが行動ベースの検知です。
  • ハイブリッド検知: ハイブリッドなアプローチは、上記の3つの方法を組み合わせて使用します。また、3つの監視・検知方法のすべてを使用することで、より効果的にマルウェアを発見することができます。

ゼロデイ攻撃の特徴

ゼロデイ攻撃は未知のものであるため、潜在的な脆弱性は通常、発見されないまま放置されます。ペイロードは、遠隔プログラムの実行、ランサムウェア、クレデンシャルの盗難、サービス妨害(DoS)、その他多数の可能性があります。ゼロデイ脆弱性の狡猾な性質は、それが検出され、封じ込まれる前に、数ヶ月にわたって組織を危険にさらす可能性があります。

未知の脆弱性がある場合、組織は高度で継続的な脅威(APT)の犠牲者になる可能性があります。APTは、バックドアを残し、複雑なマルウェアを使用してネットワークを巡回する攻撃者であるため、特に危険です。脅威を封じ込めたつもりでも、完全なインシデントレスポンスとフォレンジック調査が完了するまで、APTがネットワーク上に存在し続けることは珍しいことではありません。

脆弱性は、必ずしも企業ネットワーク上の設定ミスや脆弱性から始まるとは限りません。BYOD(Bring-Your-Own-Device)ポリシーを採用している企業では、ユーザーが自宅のデバイスを職場に持ち込むことを許可しているため、ローカルネットワークにリスクが生じます。ユーザーのデバイスが危険にさらされた場合、企業ネットワーク全体への感染につながる可能性があります。

脆弱性が隠されている期間が長ければ長いほど、攻撃者はより長くその脆弱性を利用することができます。未知のゼロデイ脆弱性によって、攻撃者はギガバイト単位のデータを流出させる可能性があります。通常、データは検出されないようにゆっくりと流出し、数百万件の記録が失われた後に初めて組織が侵害を検出します。

ゼロデイ攻撃への対策

組織や個人は、ゼロデイ攻撃を回避したり、被害から抜け出したりするいくつかの手段があります。また、組織と個人の両方が、マルウェア対策について積極的に取り組む必要があります。防御策は、攻撃者を阻止し、可能性のある脆弱性の通知を送信する戦略と標準的なサイバーセキュリティ技術を組み合わせたものであるべきです。

ゼロデイ攻撃を阻止するのに役立つサイバーセキュリティの防御策には、次のようなものがあります。

  • アンチウイルスアプリケーション: モバイル端末であれデスクトップであれ、アンチウイルスソフトウェアをインストールする必要があります。人工知能を搭載した高度なアンチウイルスは、従来のアンチウイルスのようなシグネチャファイルではなく、マルウェアのパターンや挙動を利用して脅威を検出します。
  • ファイアウォール ファイアウォールは、デスクトップまたはネットワーク上のポートスキャンやさまざまなサービスへのアクセスを阻止します。不正なトラフィックやネットワークアクセスを遮断するために使用します。
  • 監視アプリケーション: 監視システムは、個人のインターネットでは珍しいですが、組織では必要なものです。監視ソフトウェアは、異常なトラフィック活動、ファイルアクセス要求(成功および失敗の両方)、データベースの読み取り、オペレーティングシステム設定の変更、および他の多くの攻撃者のアクションを検出します。
  • システム設定の定期的な見直し: システム設定の見直しは、内部脅威者を含む攻撃者を確実にブロックするために行います。
  • フィッシングの危険性についてユーザーを教育: フィッシングを検知し報告するためのツールをユーザーに提供することで、フィッシングやソーシャルエンジニアリング攻撃の成功リスクを大幅に低減することができます。

万が一、攻撃を回避できなかった場合、インシデントレスポンスと調査が次のステップとなります。侵害を迅速に封じ込め、環境から根絶するためには、侵害発生後の対応時間が重要です。攻撃者が残した脆弱性やバックドアを特定するために、完全な調査が必要な場合もあります。デジタルフォレンジックは、攻撃者を特定するのに役立ちます。これは、特に攻撃者が内部関係者であった場合、復旧の際に非常に重要となります。

プルーフポイントの最先端の脅威対策ソリューション

プルーフポイントの最先端の脅威対策ソリューションにより、組織を標的とした脅威にどのように対応できるかをご覧ください。

ランサムウェア対策で知っておくべきこと2022(E-Book)

ランサムウェアは古くからある脅威ですが、なくなることはありません。ランサムウェアサバイバルガイド2022をダウンロードして、攻撃の前、最中、後に何をすべきかを学んでください。

プルーフポイントの標的型攻撃対策ソリューションで企業を守る

プルーフポイントのTAP(Targeted Attack Prevention)によるランサムウェアの保護と予防をご利用ください。高度な脅威や攻撃が受信トレイに到達する前に阻止します。