ゼロデイ攻撃の脅威力ととるべき対策方法

企業のセキュリティ担当者にとって、大きな脅威になり得る「ゼロデイ攻撃」をよく取り上げられます。
情報セキュリティに対する脅威が高度化・多様化している中で、ゼロデイ攻撃に対しても正確な知識を持ち、その対策を講じることが重要となってきます。
本記事では、ゼロデイ攻撃の概要と対策について順次述べてまいります。

ゼロデイ攻撃とは

ゼロデイ攻撃とは脆弱性の発見から、修正プログラムの配布の間のタイムラグを突いて攻撃を仕掛けることを指します。
一般的に、OSやブラウザ、アプリケーションにセキュリティ上の脆弱性が発見された場合、ソフトウェアベンダーはその脆弱性を公表し、それを修正するプログラムを無償で配布します。

ゼロデイ攻撃を用いた攻撃手法

・脆弱性の修正前の攻撃
先に述べたように、脆弱性の発見から修正プログラムの配布までのタイムラグを利用した攻撃です。
・未知のマルウェア
ウィルス対策ソフトはパターンファイルというウィルスのデータベースのようなファイルに一致した場合に検知し、駆除するという仕組みとなっています。ところが、新種のマルウェアが開発された場合、パターンファイルへの反映が遅れたり、その駆除を行うプログラムの開発に時間がかかります。
その間、そのマルウェアによる攻撃はウィルス対策ソフトをすり抜けて、コンピュータやネットワークに侵入し、攻撃を仕掛けることができます。

ゼロデイ攻撃による過去被害事例

◆Bashに対するゼロデイ攻撃
Linuxなどで使用されるオープンソースプログラム「Bourne-again shell(Bash)」コマンドシェルに重大な脆弱性が存在することに端を発したゼロデイ攻撃です。
Bashは多くのサーバの運用管理に使われているシェルで、発見当初はIPAからの緊急告知が行われるなどの騒ぎとなりました。
日本国内でも遠隔操作被害などが相次ぎ、警察庁が監視して報告書を公開するなど、ゼロデイ攻撃の中でも最も有名な事件です。

◆Adobe Flash Playerのゼロデイ攻撃
2015年1月、Flashコンテンツを読み込むと悪意のあるプログラムが実行される恐れがあり、脆弱性を悪用したWeb経由の攻撃(ドライブバイダウンロード攻撃)が確認されました。
ドライブバイダウンロード攻撃とは、ユーザが知らない間に悪意あるWebサイトにアクセスしただけで、ブラウザの脆弱性を突き、スパイウェアやランサムウェアなどの不正なプログラムをダウンロードさせる攻撃方法です。

ゼロデイ攻撃への対処法

ゼロデイ攻撃は完全に無防備な状態のもとに行われる攻撃なので、少しでも怪しい振る舞いを検知して、対策を講じることができるような体制を取っておくことが重要です。

・ホワイトリスト型のセキュリティ対策
ホワイトリストとは、コンピュータやネットワーク内において動作が許可されたプログラムを登録しておくリストです。
ホワイトリストに登録されたプログラム以外の起動・実行を許可しない設定にしておくことで、未知のマルウェアによる悪意のあるプログラムの実行を禁止することができます。

・サンドボックスの活用
サンドボックスとは「攻撃されても良い仮想環境」のことです。
未確認のファイルなど、これまでの攻撃パターンにないものを発見した際に、サンドボックス上で、実際にそのファイルを開き、挙動を詳細に分析します。
ただし、サンドボックスを利用した対策はあくまでも、未確認のファイルに対する検証なので、その間に脆弱性を突かれた攻撃を受ける可能性もあります。

・多層防御による対策
防御壁を多数用意することで、コンピュータやネットワークにマルウェアが侵入する確率を下げるという方法です。
具体的には以下の方法を組み合わせることが有効です。
a.ファイアウォールの設置による不正な通信の監視、遮断
b.IDS/IPSによる内部ネットワークの監視、不正な通信の遮断
c.ウィルス対策ソフトによるコンピュータの保護
d.データベースなど重要なサーバを隔離して機密情報へのマルウェアの侵入を阻止
e.万が一の流出に備えてのデータの暗号化

 

ゼロデイ攻撃はセキュリティ上無防備な状態を狙って行われるため、有効な防御策というものが存在しません。
ソフトウェアベンダーも自社の製品に脆弱性のチェックは常に行い、あれば即座に更新プログラムを配布するといった体制を整えてはいますが、どうしてもタイムラグが発生してしまいます。
また、せっかく新しい更新プログラムやパターンファイルが配布されても、ユーザがそれを適用せずに放置しておくと、いつまでもゼロデイ攻撃の脅威にさらされることになります。
情報セキュリティ担当者として、以下のようなサイトを利用して、常に最新の情報を入手し、ゼロデイ攻撃に対していち早く対応できるようにしておくことが非常に重要です。

IPA(情報処理推進機構)の緊急対策情報、注意喚起一覧
JVN(Japan Vulnerability Notes)
CVE(Common Vulnerabilities and Exposures)

 

OSやブラウザ、アプリケーションが多機能になり、より複雑な処理が可能になる分、脆弱性が存在する可能性が大きくなります。
情報セキュリティ担当者として、脆弱性は常に存在するものとして、万が一マルウェアなどに感染したとしても被害を最小限に食い止める方策も考えておかなければならないでしょう。