ゼロデイ攻撃とは？そのリスクと企業がとるべき対策を解説！

サイバー攻撃において、予測ができず、対策を取ることが難しいと言われている「ゼロデイ攻撃」。企業をゼロデイ攻撃から守るために、その特徴や対策等を解説いたします。

ゼロデイ攻撃の前に、まずはサイバー攻撃者が狙う脆弱性について理解しておく必要があります。

脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥、バグのことを言います。

サイバー攻撃者は、そのセキュリティ上の穴を狙ってウィルスを侵入させるため、脆弱性はセキュリティホールとも呼ばれます。
脆弱性を放置するという事は、攻撃してくださいと言わんばかりにセキュリティホールを開けっ放しにしている状態といって良いでしょう。

OSやアプリケーションなどのソフトウェアに脆弱性が存在していた場合、開発ベンダーは即座にセキュリティパッチ※を開発し、 ユーザーに提供します。
ユーザ側がこれをインストールしてOSやソフトウェアをアップデート（更新）することで脆弱性が解消されます。
このユーザ側の作業を「パッチを当てる」といいます。
昔、転んでズボンの膝に穴が開いたら膝パッチをお母さんが縫い付けてくれた…って経験は、今時ないでしょうね（私もありません）。
しかし、そのパッチ当てと意味合いは同じです。

^{※セキュリティパッチ・・・セキュリティホールを埋める修正プログラムのこと}

ユーザはベンダに提供されたセキュリティパッチを一分一秒でも早く処理する必要があります。しかし複数のアプリケーションが動作している環境下で1つのアプリケーションにパッチを当てると、他のアプリケーションに悪影響が出てしまうことがある為、事前に検証が必要になることもあります。また、企業によっては人的リソースが不足して対応が遅れてしまうケースもあるでしょう。

発見されてから日が浅く、セキュリティパッチ（修正プログラム）が公表されていない、あるいはベンダやユーザ企業が認識していない段階の脆弱性の事をゼロデイ脆弱性と言います。そしてゼロデイ攻撃とは、ゼロデイ脆弱性を悪用するサイバー攻撃の総称を指します。

ゼロデイ攻撃の「ゼロデイ（zero-day）」とは、修正パッチが提供された日を1日目として、脆弱性は存在しているけれど修正プログラムがまだない状態を「ゼロデイ（0日目）」と表現したことが由来です。
未知の脆弱性に対し、発覚からゼロ日目（＝ゼロデイ）に攻撃を仕掛ける様から、ゼロデイ攻撃と呼ばれるようになりました。
ゼロデイ攻撃は、ベンダやユーザから見た時に、OS・ミドルウェア・アプリケーションなどの脆弱性がまだ発見されてない段階、もしくは脆弱性そのものが発見されてから、修正パッチなどの防御策が開発されるまでの「タイムラグ」を利用した攻撃なのです。

未知の脆弱性を最初に発見したのが味方ではなくサイバー攻撃者であった場合、攻撃者は無防備なソフトウェアに対して先手を打って好き勝手に攻撃することができる上に、攻撃をきっかけにベンダやユーザがその脆弱性の存在に気が付いたとしても修正プログラムが開発、配布、適用されるまでの間も尚、攻撃を拡散する事が出来る為、他のサイバー攻撃よりも被害が大きくなる危険性を孕んでいます。
これがゼロデイ攻撃がサイバー攻撃の中で、もっとも深刻な脅威の一つといわれている所以です。

利用しているソフトウェアやハードウェアに脆弱性があったとしても、多くの場合は、その製品を利用しているだけで悪用されてしまうわけではありません。実害が発生するまでには、ユーザによる特定の行動が必要な場合が多くあります。例としては、意図せずサイバー犯罪者が罠を仕掛けている悪意のあるウェブサイトを直接閲覧、またはSNS等のリンクから飛ばされてしまったり、不正なメールに記載されているリンクをクリック、または添付ファイルを開いたりといった行動です。これらがトリガーになり、いつの間にか攻撃の糸口をサイバー犯罪者に渡してしまっているケースが殆どかと思います。

1. 不正なメールやサイトを経由して、攻撃コードやマルウェアをユーザに送り込む
2. ユーザに知らず知らずのうちに攻撃コードを実行させる
3. マルウェアの侵入が成功する
4. C&Cサーバ （C2サーバ）からマルウェアを遠隔操作し狙っていた攻撃が完了する

攻撃手法は日々進化していますのでこれに限ることは出来ませんが、現時点では概ねこの流れに沿う形でセキュリティインシデントが発生すると思います。

そもそも脆弱性がなければマルウェアに侵入されることがないのかもしれませんが、プログラムのアップデートをきちんと行っていたとしても、新たな脆弱性は次から次へと生まれてきますので、この対策は不可能です。
また、それ以外にも攻撃被害に遭う仕組みを知ることで然るべき対応策も見えてくるかもしれませんが、100％被害を回避する事は出来ません。現在知られている防御策は、全て既知のマルウェアの傾向から類推して後発で開発されたものであり、ゼロデイ攻撃に有効とは限らないからです。

そもそもゼロデイ攻撃への対応策以前に、パッチ管理が適切に出来ていないと自覚している情シス担当の方がいれば、Nデイ脆弱性を使った不正アクセスでも被害を受けることになります。直ぐにでも運用を見直すべきかもしれません。クライアントPCなど全端末に対して即座にセキュリティパッチを適用するのは難しい事情がある場合がありますが、可及的早急に対処すべきなのは間違いありません。

そして不可避であると言われるゼロデイ攻撃にも、一定の効果があると言われる防御策もいくつかありますので紹介したいと思います。

不審なファイルを安全に実行して検証するためにコンピュータ内に設けられた仮想環境を指します。
サンドボックスの機能を搭載したセキュリティソフトやUTMを導入すると、不審なファイルを隔離した環境下で実行させることが出来、不正プログラムを本番環境へ持ち込まずに検出する事が出来ます。
しかし「今サンドボックス内にいるかどうか」を識別し、サンドボックスの中では挙動を止めるマルウェアも出てきているので100%とは言えません。

振る舞い検知機能人が他人を殴ろうとした時に一度腕を後ろに引きます。
他人を攻撃しようとしない限り、この動作は行わないと思います。
それと同じ様に、ウィルスも悪さをする前に特有の挙動を示します。
これを逆手にとって、仮想環境（サンドボックス内）や本番環境下でプログラムが実際に動くときの「振る舞い」から、それがウィルスと判断する機能です。
振る舞い検知機能を搭載したセキュリティソフトやUTMを導入し、ウィルスを検知できればプログラム実行前に防御する事ができます。
しかし、ノーモーションでパンチを出せるボクサーがいるように、気づいたと同時に殴られている事もあるので、この対策も100％ではありません。またプログラムの挙動を見て「マルウェアの可能性が高いもの」を検出する仕組み上、正規プログラムを不正プログラムだと誤検知してしまう可能性もあります。

ゼロデイ脆弱性をついてセキュリティホールを抜けて侵入してきたウィルスも、侵入後は外にいるC&Cサーバ※から指令を貰う為コールバック通信を行います。
そのコールバック通信を検知してC＆Cサーバとの通信を遮断する事で、防御を確立する手法です。
こちらも上記2つのようにかなり有効な手段ですが、これはC＆Cサーバの所在が既知であるのが前提条件になりますので、新たなC&Cサーバが出てくれば効力を発揮しないことになります。

^{※C＆Cサーバ(C2サーバ)・・・ウイルスを感染させて乗っ取ったコンピュータに対して外部から制御したり命令を出したりする役割を担うサーバコンピュータのこと。}

これは、マルウェアを侵入させないという考えとは逆の発想から来る対策方法です。
マルウェアは侵入~攻撃開始までのプロセスが全てエンドポイント上で行われる事に焦点を当て、全てのエンドポイントに対してプログラムやプロセスを監視し、マルウェアが攻撃を開始する前、あるいは攻撃を開始した際にそれを検知し管理者に通知して即時対処を行う「侵入してしまったマルウェアの進撃を初期段階で食い止め、被害を最小化する」ことに重点を置いたアプローチです。
しかしこちらはセキュリティ担当者にログを読み解くスキルが求められます。専門知識がない場合は、そこを補填する機能を含むサービスを選定するべきでしょう。

これらはサンドボックスや振る舞い検知IDS・IPSの侵入防御策が有効でなかった場合にEDRが効果を発揮する形で多段階的に策を講じる事をお薦めします。