ゼロデイ攻撃とは？ 主な攻撃方法や被害の種類、対処方法を解説

ゼロデイ攻撃とは、OSやソフトウェアの脆弱性を悪用するサイバー攻撃

ゼロデイ攻撃とは、OSやソフトウェアの脆弱性（セキュリティホール）を悪用したサイバー攻撃の一種です。修正パッチが提供される前、つまり「0日目（Zero Day）」の時点で攻撃することから、ゼロデイ攻撃と呼ばれています。

脆弱性（セキュリティホール）とは？

脆弱性とは、プログラム上の不備などによりセキュリティレベルが低くなっている箇所のことを指します。サイバー攻撃を仕掛ける者にとって格好の標的であり、どのOSやソフトウェアにも存在する可能性があります。製品の提供元から脆弱性を修正するためのパッチが提供されたら、できるだけ早く適用しアップデートすることが重要です。

ゼロデイ攻撃を防ぐのが難しい理由

サイバー攻撃の被害を未然に防ぐには、ソフトウェアなどを随時アップデートし、最新の状態に維持することが重要とされています。しかし、ゼロデイ攻撃はパッチが提供される前に行われるため、随時アップデートしていても攻撃を完全に防ぐのは困難です。

ゼロデイ攻撃の主な攻撃方法

ゼロデイ攻撃には多くの手口がありますが、中でも特によく見られる攻撃方法について解説します。ここでは、脆弱性を突いた「マルウェアを添付したメール送信」と「Webサイト改ざん」といった2つのゼロデイ攻撃の手口についてご紹介します。

マルウェアを添付したメール送信

ゼロデイ攻撃の中でもよく見られるものの一つが、マルウェアが仕込まれたファイルを添付したメールを送りつける攻撃方法です。添付ファイルを開くとマルウェアが作動して端末内のデータを窃取したり、ネットワーク内のほかの端末にも被害を広げたりするので注意が必要です。マルウェア添付メールには、「標的型」と「ばらまき型」があります。標的型とは、特定の企業に対して取引先や関係者を装ったメールを集中的に送る方法です。一方、ばらまき型の場合は、不特定多数の企業や担当者に大量にメールを送ります。

Webサイト改ざん

Webサイトの脆弱性を突いて改ざんし、悪質なファイルやリンクを仕込む攻撃方法もあります。改ざんされたWebサイトは、アクセスした時点でマルウェアがダウンロードされる仕組みになっていたり、クリックするとマルウェアがダウンロードされるリンクが設定されていたりします。自社のWebサイトだけでなく、他社のWebサイトが被害に遭っている可能性もあるので注意が欠かせません。業務に関係のないWebサイトや、信頼性が確認できていないWebサイトにはアクセスしないことが大切です。

ゼロデイ攻撃による代表的な被害の種類

実際にゼロデイ攻撃を受けると、どのような被害が発生するのでしょうか。ゼロデイ攻撃による主な被害には、「不正アクセス」と「マルウェア感染」による被害があります。

不正アクセスによる被害

システムの開発元さえ把握していない脆弱性が放置されていた場合、ゼロデイ攻撃による不正アクセスの被害に遭うことも想定されます。不正な手段で取得したID・パスワードを使用されると、社内システムにアクセスされてシステムが乗っ取られてしまいます。この方法の場合、攻撃者が正規のユーザーと見分けがつかないことが多いため、システムに接続しているすべての端末にマルウェアを感染されてしまいかねません。また、共有フォルダなどの脆弱性が狙われて不正アクセスされた結果、個人情報が外部に流出した事例も確認されています。

マルウェア感染による被害

組織内の端末をマルウェアに感染させ、顧客情報や機密情報を窃取する被害もあります。これは、攻撃者がシステムの脆弱性を突いて侵入し、ネットワークを通じて組織内の端末へマルウェアを感染させていく手口です。セキュリティホールの存在に気づいて対策しない限り、重要な情報が漏れ続ける可能性もあります。また、自社のみの被害にとどまらず、取引先や顧客にもマルウェア感染の恐れがあり、大規模な被害になるケースも想定されます。

ゼロデイ攻撃の対象になりやすい企業の特徴

ゼロデイ攻撃の対象になりやすい企業には、いくつか共通した特徴があります。次に挙げる特徴が自社に該当していないか、十分に確認することが大切です。

OSSを多く運用している

業務にOSS（オープンソースソフトウェア）を活用している企業は、ゼロデイ攻撃の標的になりかねません。OSSはソースコードが公開されているので、企業や個人が機能の拡張を行えます。しかし、中にはセキュリティホールを残したまま公開されているケースもありますので、攻撃者にとって脆弱性を突きやすくなります。また、OSS導入後のサポートやトラブル対応は、自社で行わなくてはなりません。脆弱性が発見された場合は、すぐに対策を講じられるよう注視していく必要があります。

テレワークを導入している

テレワークを取り入れている企業は、ゼロデイ攻撃の標的になりやすい傾向があります。テレワークでは、各従業員が別々の場所で就業しているため、端末の管理やセキュリティ対策などが煩雑になりやすいからです。誰がどの端末を使用しているのかを把握し、管理を徹底していく必要があります。また、テレワークに伴いVPN（Virtual Private Network）を導入している場合、VPN装置そのものに脆弱性が見つかる可能性もあります。

財務や知的財産の価値が高い

財務資本の価値が高い企業や、価値の高い知的財産を保有する企業は、ゼロデイ攻撃の標的になりやすいと考えられます。攻撃者が侵入に成功すれば、組織内の情報を窃取することで得られる見返りが大きくなるからです。例えば、財務価値の高い金融機関や、価値のある知的財産を所有する製薬会社、テクノロジー企業などは攻撃者のターゲットとなり得ます。

大規模な顧客データベースを有している

多くの個人情報を保有する企業は、ゼロデイ攻撃の標的になりかねません。例えば、顧客のクレジットカード情報をはじめとする決済関連情報を大量に保有している企業を攻撃すれば、窃取できる情報の量と価値が高くなりやすいからです。このような財務資本の価値が高い企業は、ゼロデイ攻撃の格好の標的となります。

大規模なサプライチェーンの関連企業である

大規模なサプライチェーンの一翼を担う小規模なサプライヤーも、ゼロデイ攻撃の標的にされるので注意が必要です。一般的に、サプライチェーンの上位に位置する大手企業の多くは、高いセキュリティレベルを保持しています。そのため、大手企業への侵入経路として、比較的セキュリティレベルの低い小規模なサプライヤーがゼロデイ攻撃の対象として狙われるケースが少なくありません。

ゼロデイ攻撃への対策

ゼロデイ攻撃の脅威を完全に防ぐのは容易ではありません。では、ゼロデイ攻撃のリスクをできる限り軽減させるには、どのような対策が必要になるのでしょうか。ゼロデイ攻撃を防ぐための主な対策についてご紹介します。

基本的なセキュリティを徹底する

ゼロデイ攻撃への対策として、まずは基本的なセキュリティ対策を徹底することが重要です。OSやソフトウェアのパッチが提供された際には速やかに適用し、常に最新の状態に保ちます。また、サポート期間が終了したソフトウェアを使用しないことや、不審なメールを開かないこと、メールに添付されているファイルや記載されているURLも安易に開かないことなど、基本的なセキュリティ対策を徹底することが欠かせません。その上で、ユーザー認証の厳格化やアクセス制御、スタンドアロン環境での運用など、複数の対策を組み合わせて講じていくことが大切です。

サンドボックス環境を導入する

ゼロデイ攻撃を受けた場合を想定して、サンドボックス環境を導入するのも対策方法の一つです。サンドボックス環境とは、コンピューター上に設けられた仮想環境のことです。ほかの環境とは完全に独立しており、外部とのデータのやりとりができないクローズドな領域なため、不審なファイルやメールを開いてもほかに被害が及ばず、安全に確認することができます。

重要情報は暗号化と隔離を徹底する

万が一ゼロデイ攻撃を受けた際は、被害を最小限に抑えることも大切です。重要情報は暗号化された状態で扱うとともに、保管する際にはネットワークから隔離しておきます。暗号化と隔離の徹底により、ゼロデイ攻撃を防げなかった場合でも甚大な被害を受けるリスクを減らすことができます。

第三者に脆弱性をチェックしてもらう

第三者に自社の環境をチェックしてもらうことで、脆弱性を発見するのも有効な対策といえます。組織内に潜んでいる脆弱性は内部の人間には見つけにくいため、外部のセキュリティ専門家に依頼し、客観的な視点で脆弱性をチェックしてもらうことが重要です。

EDRを導入する

ゼロデイ攻撃を受けた際に、いち早く異常を検知するEDR（Endpoint Detection and Response）を導入しておくことも大切です。EDRとは、ネットワークに接続された端末や機器を検知する仕組みを指します。EDRを組織内の各端末にインストールすることにより、不審な動作や通信が検知された際にアラートで通知したり、ネットワークからの隔離やシステムを停止したりするなど、所定の対応を自動で行うことが可能です。

ゼロデイ攻撃を受けたときの対処方法

万が一ゼロデイ攻撃を受けてしまった場合には、どのような対処が求められるのでしょうか。ここでは、企業においてゼロデイ攻撃を受けた際の対処方法についてご紹介します。

1. ネットワークから遮断する

まず、ゼロデイ攻撃を受けていることが発覚した時点で、攻撃を受けた可能性のある端末やデバイスを速やかにネットワークから遮断することが大切です。攻撃者はネットワークを通じて、ほかの端末や機器へと侵入範囲を拡大させていきます。ネットワークから遮断するタイミングが早ければ早いほど、被害の拡大を防げる可能性が高いと考えられます。

2. システム管理を担当する部署に連絡する

次に、システム管理を担当する部署に連絡し、状況や経緯を伝えます。どのような操作をした際に不審な動作が確認されたのか、直前までどのWebサイトや社内システムを使用していたのかなど、できるだけ詳細な情報を伝えることが大切です。また、システム管理者は情報漏洩が発生した可能性があるかどうかを判断し、被害状況によっては管轄の警察署や監督官庁へ報告する必要があります。

3. エンドポイントセキュリティでスキャンし駆除する

最後に、担当部署の責任者は、マルウェア感染などが疑われる端末をエンドポイントセキュリティ製品でスキャンし、検知されたマルウェアを駆除します。マルウェアが残っている状態でネットワークに再接続してしまうと、再びマルウェアが組織内に拡散される恐れがあるからです。場合によっては端末を初期化する必要に迫られるケースもあります。万が一の事態に備え、普段からデータのバックアップを習慣化しておくことが大切です。

「SKYSEA Client View」で未知の脅威への対策をサポート

ゼロデイ攻撃はOSやソフトウェアの脆弱性を突いた攻撃のため、既知のマルウェアへの対策だけでは十分とはいえません。従って、未知のマルウェアを早期発見し、隔離・調査できる仕組みを整えておくことが大切です。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、EDR製品と連携して未知の脅威への対策を強化できるツールです。例えば、FFRIセキュリティ社製の「FFRI yarai」と連携した場合、「FFRI yarai」が端末のマルウェア感染を検知し、「SKYSEA Client View」が端末上のマルウェアを隔離します。同時にほかの端末が同じマルウェアに感染していないかを自動で調査し、マルウェアが検知された場合は自動で隔離します。さらに、端末の操作ログから、感染原因の調査や事後対応に役立つ情報を確認することが可能です。

ゼロデイ攻撃への対策を強化したい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。