ITセキュリティ女子のブログ

  • サイバー攻撃
  • エンドポイントセキュリティ
  • ゼロトラスト
2021.01.28

ゼロデイ攻撃とは?

ゼロデイ攻撃とは?

みなさんこんにちは、長谷川まりです。

先日発表されたグーグルのセキュリティチームの調査結果で、2020年の第1四半期に発生した高度な標的型攻撃として、Chromeブラウザに対するゼロデイ攻撃の内容が触れられていました。ゼロデイ攻撃は、何が怖いのでしょう。未然に防ぐことは難しいのでしょうか。今回は、その内容についておさらいしたいと思います。

ゼロデイ攻撃とは?

ゼロデイ攻撃とは、ITベンダー側がまだ認識していない脆弱性を突いた攻撃です。ITベンダー側が脆弱性を認識してパッチをリリースした日を「ワンデイ」と言うため、パッチや回避策が提示される前の攻撃を「ゼロデイ攻撃」と呼ぶようになりました。

世の中に絶対壊れないものなど無いように、ITシステムを構成するもの全てに脆弱性が存在します。コンピューターのハードウェア(CPU等)から一番上に乗るアプリケーションまでの全ての層に脆弱性はあります。そして、それらの脆弱性を狙ったゼロデイ攻撃は、国の諜報機関が世界の要人の行動を監視するものから、最も有名なサイバー攻撃の一つである「Stuxnet」のように、特定の施設を破壊することを狙ったものまで様々な事例が知られています。

なぜ攻撃者が先に脆弱性を見つけてしまうのか?

なぜ、攻撃者はベンダーよりも先に、脆弱性を見つけてしまうのでしょう。脆弱性はとても高い金額で取引されることがあるからです。

大手ベンダーの多くが、攻撃者に脆弱性を知られる前に善意の人に脆弱性を見つけてもらおうと、脆弱性を見つけて報告してくれた人に報奨金を出すプログラムを実施しています。ただ残念なことに、脆弱性を発見してもらえる報奨金よりも、見つけた脆弱性を世界中の攻撃者グループに売りさばくほうが儲かるのが現実です。価値の高いゼロデイ脆弱性は数千万円で取引されると言われています。買い手は、サイバー攻撃に積極的な国の機関だったり、国に支援されたグループだったりします。そのため、ゼロデイ攻撃の対象となるのは一般人や一般企業ではなく、軍事転用できる技術を持つ企業や研究機関や政府など、国にとって価値の高い情報を持っている組織が対象となります。

実際のゼロデイ攻撃とはどんなものか?

さて実際のゼロデイ攻撃は、全容解明までに何か月もかかる大変なものと言えます。

2021年1月12日、Googleのセキュリティ・アナリストのチームであるProject ZeroがGoogle Threat Analysis Group (TAG)と連携して、2020年の第1四半期に発生した高度なサイバー攻撃について調査した結果を発表しました。(*参考:Project Zero -News and updates from the Project Zero team at Google

水飲み場攻撃という手法で、標的が普段利用しているWebサイトを侵害して、サイトを訪れたChromeブラウザを調べ上げ、脆弱性がある場合は攻撃コードをダウンロードさせて実行させ、最終的にはマルウェアをインストールするというものでした。この攻撃ではなんと、4つものゼロデイ脆弱性に対する攻撃を組み合わされており、さらに調査を妨害する工夫も施されていて、攻撃の全容解明には6ヶ月もかかったと言います。

ゼロデイ攻撃を防ぐにはゼロトラストとWeb分離が有効

どうすればゼロデイ攻撃を防げるのかは難しい問題です。攻撃者側は一流の技術を持ち、かならず情報を奪うという決意を持って攻撃して来るため、EDR製品などを導入して僅かな侵害の痕跡を見つけ、なんとか攻撃を防いだとしても、第二、第三と続く攻撃を全て防ぎ切るのは不可能に近いといえます。
そこで、ゼロデイ攻撃を防ぎたい組織に検討してもらいたいのは、ネットワークの境界でセキュリティ対策をおこなう境界防御モデルから、ITシステムを構成するデバイスやアプリケーションなどの全てに対してセキュリティチェックの境界(マイクロセグメンテーション)を作る「ゼロトラストモデル」にシフトすることと同時に、「Webの分離」を検討することです。今やほぼ全てのアプリケーションはブラウザ上で動きます。フィッシングメールも悪いリンクを踏ませてブラウザ経由でマルウェアに感染させようとします。今回のProject Zeroが検証したChromeブラウザに対するゼロデイ攻撃のように、多くのゼロデイ攻撃ではブラウザが狙われているのです。

性悪説のゼロトラストの思想をブラウジングにも取り入れれば、組織として閲覧許可しているWebサイトのコンテンツですら端末のブラウザ上では実行させず、端末や組織のネットワークとは別の隔離された環境で実行させ、結果の画面を画像として端末上で閲覧できるようになります。この仕組であれば、端末上でゼロデイ攻撃のコードが動くことはありません。そのため、ブラウザや端末の脆弱性を突く多くのゼロデイ攻撃を未然に防ぐことができるようになるでしょう。

まとめ

以上のように、ゼロデイ攻撃とはITベンダー側がまだ認識していない脆弱性を突く攻撃で、攻撃者側のモチベーションも高いため、全ての攻撃を未然に防ぐのはとても難しいことです。そこで有効な対策としては、性悪説のゼロトラストモデルを採り入れながらWeb分離を行い、端末上でゼロデイ攻撃のコードを実行させない手段が考えられます。アシストでは、このWeb分離を無理なく実現するソリューションとして「Ericom Shield」をご紹介していますので、是非ご覧ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • サイバー攻撃
2024.03.27

バッチ処理で必要となる内部統制課題とは

15年ぶりのJ-SOX改訂を背景に、企業で実行されているバッチ処理にセキュリティ面での統制がさらに強く求められるようになるかもしれません。本記事で解説します。

  • エンドポイントセキュリティ
  • ID管理
  • 認証
2024.03.14

特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版

従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る