クラウドセキュリティの
学び場

ゼロデイ攻撃とは

みなさんは日常利用されるアプリのバグを発見したことはありますでしょうか？
それとも、リリースされているアプリにバグなんてあるの、と思われましたでしょうか？

いわゆるアプリだけでなく、みなさんの身の回りにあるPC、その他電子機器製品はさまざまなソフトウェアにより動作しており、これらには一般に何がしかのバグが含まれていると言われています。ありとあらゆるパターンのテストを試すことができないため、検出されなかったバグが残るわけです。

そしてユーザがソフトウェアを使っている間にバグが顕在化しなければ、そのバグは提供しているベンダにもユーザにも気づかれずに存在し続けます。

使用する上で、実際に何も問題を起こさないとしたならあっても無くても同じこと、それが一体どうしたのか、とお考えの方もいらっしゃるかと思います。
しかし、特殊な条件で発現するバグがセキュリティ上深刻な問題を引きおこすものだとしたらいかがでしょう？そしてそれが人知れず誰かに発見され悪用されているとしたら、なかなか怖いことです。

ゼロデイ攻撃とはまさにこのような状況を指して使う言葉です。
ソフトウェアが含む脆弱性（セキュリティ上問題のあるバグ）が発見されてベンダに周知され、その修正版がリリースされるまでには「それなりの期間」がかかります。「それなりの期間」内に悪意を持った人物によって脆弱性を悪用されて攻撃されることをゼロデイ・エクスプロイト、ゼロデイ攻撃と呼びます。修正する間も無く攻撃されたというニュアンスからゼロデイ(zero-day)という呼ばれ方をされている訳です。

ゼロデイ攻撃は未知の脆弱性を発見し、その悪用方法まで生み出して実行している点で高度なサイバー攻撃と言えます。年々サイバー攻撃が高度化しているという話はみなさんもどこかで目に耳にしたことがあるかと思いますが、ゼロデイ攻撃（の増加）はAPTと並んでその高度化を象徴するワードといえます。

ゼロデイ攻撃被害を抑えるための５つの対策

当の攻撃者しか知らないような攻撃手法を実行されたらとうてい防ぎようがない、どうすれば良いのか、と不安になった方もいらっしゃるかと思います。ゼロデイ含め、新規の脆弱性に付け込んだ攻撃で被害を可能な限り小さくするよう、ここではその対応策を示しておきます。基本的な方針は、ゼロデイを完全に防ぎ切ることは困難、という立場に立つものです。一定確率で被害に遭うことを前提に、しかしその影響と復旧までの時間を小さくすることが重要になります。

1 ソフトウェアの更新

プロダクトのベンダやセキュリティベンダは日々バグ（脆弱性）の発見と修正に取り組んでいます。早期発見された問題に対して修正パッチなどがリリースされますので、多少面倒ではあっても日々しっかりとパッチ適用やバージョン更新を行いましょう。語義としてはゼロデイの対策ではありませんが、新規脆弱性の早期対応も極めて重要です。

2 セキュリティプラクティス

ゼロデイ攻撃には、従来の攻撃手法と同様の流れをとるものもあります。そうした攻撃に対しては基本的なセキュリティプラクティスをしっかり実施することでリスク緩和になります。ファイアウォールやアンチウイルスソフトなどを利用します。当然、更新はしっかり実施していきます。メールの添付ファイルは迂闊に保存・実行しないように注意します。業務利用のPCでは外部メディアの利用も要注意です。

3 ネットワークの監視

企業においてはサービスシステムや社内ネットワークの監視も実施したいところです。予算との相談になりますが、IPSなどのセキュリティ製品やSOCサービスの利用をしっかり検討・実施していきましょう。

4 災害復旧手続きの確立

これはまさに被害に遭うことが前提なる対応ですが、非常に重要なものです。
セキュリティインシデントを確認した際の連絡の流れや対応時の役割、必ず実施することなどを決めておくことで被害拡大を防ぐのに役立ちます。予算に余裕がある場合はセキュリティベンダとの24/365対応の契約なども検討してみても良いでしょう。

5 情報資産管理

どんな情報資産を持っていて、そのうちのなにがどの程度重要なのかを把握します。資産の重要度、言い換えれば守るべき優先順位を明確にして最優先のものから防御策を講じていきます。

いずれもどこかで聞いたことのあるような対応策ばかりと思われたかも知れません。実際のところその通りですが、これらのセキュリティ対策を「総合的にしっかり」実施できている環境というのはそれほど多くありません。未知の、あるいは高度な攻撃だからこそ、防御にうまいトリックなど無いのです。総合的で優先順位の明確な対策が今後ますます重要になっていきます。