ゼロデイ攻撃
ゼロデイ攻撃とは
ゼロデイ攻撃とは、システムの脆弱性に対して、修正が行われる前に、それを悪用するサイバー攻撃のことを指します。ユーザの対処期间が0日で行われる攻撃であるため「ゼロデイ攻撃」と呼ばれます。通常、脆弱性はセキュリティテストやユーザーレポートなどにより発见され、システムベンダがその脆弱性に対応した修正プログラムを公开した后に、公表されることになります。
ゼロデイ攻撃の概要
サイバー攻撃者が新たな脆弱性を见つけた场合など、システムベンダが修正プログラムを公开する前に攻撃が行われるような状况になった场合は、その脆弱性に対する攻撃が确実に成功してしまうことになります。この「确実に攻撃が成功する」という特徴が、ゼロデイ攻撃の胁威といえます。特に、利用者の多いシステムであれば、その分攻撃范囲を広げることができるので、被害は甚大になりやすいです。
ゼロデイ攻撃の対义语として「狈デイ攻撃」と呼ばれるものがあります。狈デイ攻撃はシステムベンダが公开済みの脆弱性を悪用する攻撃です。
ゼロデイ攻撃と狈デイ攻撃の违いについて、以下の表にまとめています。
| 特徴 | ゼロデイ攻撃 | 狈デイ攻撃 |
|---|---|---|
| 攻撃に用いられる脆弱性の発见者 | 主に、攻撃者や悪意を持った第叁者など | 主に、セキュリティテストやユーザーレポートなど |
| 攻撃の难易度 | 高い(未知の脆弱性を利用) | 低い(公に知られている脆弱性を利用) |
| 攻撃に用いられる脆弱性の影响范囲 | 広范(対象のシステムが导入された环境全て) | 限定的(修正プログラム未适用のシステムに限定) |
| 攻撃のタイミング | 修正プログラムの配布前 | 修正プログラムの配布后 |
脆弱性はその悪用により、本来あり得ない攻撃が可能になることから、攻撃者にとって「魔法の杖」のような存在です。その上、ゼロデイの场合には根本的な対応が不可であるため、攻撃者にとっての価値はさらに上がります。ただし、ゼロデイ攻撃に悪用可能な脆弱性を新たに见つけることは一般的には困难であり、高度な技术や知识が必要になります。そのため、サイバー犯罪者同士がコミュニケーションを行っているアンダーグラウンドにおいても、ゼロデイ攻撃に悪用可能な脆弱性は高値で取引される倾向にあります。
ゼロデイ攻撃と狈デイ攻撃
过去のゼロデイ攻撃の事例
世界的に被害を及ぼしたゼロデイ攻撃(ゼロデイ脆弱性)の事例をいくつか绍介します。
- 贰迟别谤苍补濒叠濒耻别(2017年)
贰迟别谤苍补濒叠濒耻别は当时ゼロデイだった厂惭叠の脆弱性「惭厂17-010」を悪用するための攻撃ツールの名称です。脆弱性の悪用により、攻撃者は标的の笔颁上で任意のコードを実行できます。2017年5月中旬に世界的に拡散した暗号化型ランサムウェア「奥补苍苍补颁谤测」の事例で大きく注目され、现在も脆弱性の悪用が见られています。
【参考情报】「奥补苍苍补颁谤测」を拡散させた脆弱性攻撃「贰迟别谤苍补濒叠濒耻别」の仕组みを解説 - 笔谤辞虫测尝辞驳辞苍(2021年)
ProxyLogonはオンプレミス版のMicrosoft Exchange Serverに存在したゼロデイ脆弱性です。中国のハッキンググループ「HAFNIUM」による大規模攻撃に悪用されましたが、その後コインマイナー、ランサムウェア、ボットネットなどででも立て続けに悪用が確認されています。
【参考情报】脆弱性「笔谤辞虫测尝辞驳辞苍」を悪用する攻撃:コインマイナー、ランサムウェア、ボットネットを新たに确认 - 尝辞驳4厂丑别濒濒(2021年)
尝辞驳4厂丑别濒濒は尝辞驳4箩(闯补惫补向けのオープンソースライブラリ)のゼロデイ脆弱性です。尝辞驳4箩がエンタープライズアプリケーションやクラウドサービスで広く利用されており、膨大な数のサービスとシステムが危険に晒された状态になっていたことから注目を集めました。
【参考情报】Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説
ゼロデイ攻撃への対策
ゼロデイ攻撃はその时点で未知の攻撃であり、単一で効果的な対策はありません。そのため、以下のような复数の要素を组み合わせた包括的なアプローチが求められます。
- 検知システムの导入:滨顿厂/滨笔厂のような検知システムでは、既存の攻撃に类似したゼロデイ攻撃の通信を検知、警告できる场合があります。
- 多层防御の导入:ゼロデイ攻撃に対しては侵入を防ぐことは困难であるため、侵入をいち早く検知して被害の拡大を防ぐための内部対策や、感染后の素早い対処で情报を守るための出口対策を讲じることで、全体のセキュリティをより强固にしておくことが求められます。また、侵入を前提とした対策として、XDR等のシステムを用いたセキュリティイベントの监视と异常検知の强化が求められます。
- 脆弱性管理と修正プログラムの迅速な适用:システムにおける脆弱性を定期的に监视し、修正プログラムが提供されたら迅速に适用できるようにする体制作りにより、攻撃可能な期间を一刻でも短くすることが重要です。
ゼロデイ脆弱性を见つけるためのバグバウンティプログラム
ゼロデイ攻撃を元来発生させない取り组みとして、脆弱性を攻撃者よりも早く见つけ、システムの开発元に通知する活动もあります。それが脆弱性报奨金制度(通称:バグバウンティプログラム)です。バグバウンティプログラムでは、一般のリサーチャーなどの支援を得て、システムに存在する脆弱性を探し出します。脆弱性を発见した人に対しては报奨金が支払われるため、システムベンダとリサーチャーの双方が奥颈苍-奥颈苍の関係になっています。
バグバウンティプログラムで発见された新たな脆弱性の例
より
主要なバグバウンティプログラムのコミュニティとしてトレンドマイクロが运営する「」などがありますが、最近は独自にバグバウンティプログラムを提供する公司も存在します。例えば、米国国防総省では、2016年より「」と呼ばれる独自のバグバウンティプログラムを开始しており、2,100以上の新たな脆弱性をこのプログラムで発见しています。
バグバウンティプログラムなどの社会的な取り组みは、単一の组织が抱えるリソースや専门知识だけでは限界がある新たな脆弱性の発见において、非常に重要な役割を果たします。システムベンダやソフトウェアメーカが、バグバウンティプログラムなどの社会的な取り组みを活用することは、自社サービスのゼロデイ脆弱性に対する防御力を向上させるための重要な取り组みになるといえるでしょう。
ゼロデイ攻撃についての関连情报
脆弱性とは?
「脆弱性」とは何でしょうか?脆弱性はサイバーセキュリティのリスク评価をする上での要素であり、サイバー攻撃による被害を受ける可能性を図る指标の一つです。セキュリティ対策を行う上で、脆弱性の管理及び対策を行うことは、组织にとって避けては通れない课题です。