ゼロデイ攻撃とは何か?攻撃手法と対策について解説

ゼロデイ攻撃とは

ゼロデイとは、OSやソフトウェアなどで、脆弱性やセキュリティホールが発見されてから、具体的な対策がされるまでの期間を指します。この期間に脆弱性やセキュリティホールをついて攻撃するのがゼロデイ攻撃です。

OSやソフトウェアに脆弱性が見つかると、修正プログラムが提供されますが、対応までにタイムラグが発生します。
そのため、一定の期間はセキュリティが無防備な状態になることは避けられません。対策にも限界があるため、ゼロデイ攻撃は、数あるサイバー攻撃の中でも深刻な脅威と言われています。

ゼロデイ攻撃の攻撃手法

ゼロデイ攻撃の攻撃手法は「ばらまき型攻撃」「標的型攻撃」の2つに分類されます。

ばらまき攻撃は、不特定多数を狙った攻撃です。攻撃者は大手企業などを装ったメールを不特定多数に送信し、それを受信した人がメールを開くとマルウェアに感染してしまいます。

標的型攻撃は、特定の人を狙った攻撃です。ばらまき攻撃と同様に、攻撃者は関係者に成りすましてメールを送ります。実際の知人や、取引のある会社名が使われることが多く、巧妙に偽装されることが多いのが特徴です。

ゼロデイ攻撃への対策

脆弱性が見つかってからアップデートが公開されるまでの期間、OSやソフトウェアは無防備な状態になります。そのため、ゼロデイ攻撃には、脆弱性を前提とした対策や、攻撃を前提とした対策が必要です。

以下では、ゼロデイ攻撃に有効な対策を紹介します。

OSやソフトウェアのアップデート

OSやソフトウェアは、バグや脆弱性に対する修正など、定期的にアップデートがあります。日々アップデート情報をチェックし、常に最新の状態に保つことが対策のひとつです。
可能な限り早くOSやソフトウェアをアップデートすることで、セキュリティの穴をふさぎ、被害を最小限に抑えることが可能です。

サンドボックスの活用

サンドボックスはコンピュータ内に作られた疑似環境のことです。この疑似環境は、他のネットワークとは隔離され、独立しています。サンドボックス内で、プログラムを実行することで、不正プログラムをネットワークに持ち込まずに検出できます。
感染の被害を最小限に抑える方法として、サンドボックスの活用が有効です。
サンドボックスについては下記の記事をご参照ください。

EDRの導入

EDRは、Endpoint Detection and Responseの略で、PCやサーバーなどのデバイスの状況を監視し、不審な振る舞いを検知、対応するアプリケーションです。

ゼロデイ攻撃は、これまで発見されておらず対策が取られていない未知の攻撃です。既知ウイルスのデータベースに照らし合わせ、それにマッチするものを除去する従来のウイルス対策ソフトでは対応できません。それに対してEDRは、ウイルス対策ソフトだけでは防げないマルウェアを検知できます。

ファイアーウォールの導入

ファイアーウォールは、ネットワークの外部と内部の境界上に設置され、不審な通信をブロックする機器です。ファイアーウォールは、ネットワーク層の攻撃を防御できますが、OSやサーバー、WEBアプリケーションへの攻撃は防御できません。ゼロデイ攻撃の対策には、WAFやIDS/IPSと組み合わせることが有効です。

IDS/IPSの導入

IDS/IPSはネットワークへの不正なアクセスを検知・防御するシステムです。
IDS/IPSはパケットの中身までチェックするため、ファイアーウォールでは防げないDoS攻撃、Synフラッド攻撃などの対策として有効です。
IDS/IPSについて、詳しくは下記の記事をご参照ください。

WAFの導入

WAFは、Web Application Firewallの略で、Webアプリケーションに特化したセキュリティツールです。IDS/IPSで検出できないWebアプリケーションの脆弱性を狙った攻撃を検知して、遮断できます。
WAFについては下記の記事をご参照ください。

まとめ ~ゼロデイ攻撃に有効な多層防御~

ここまででゼロデイ攻撃に有効な対策を紹介しました。アップデート前のOSやソフトウェアを狙うゼロデイ攻撃には、脆弱性や攻撃を前提とした対策が有効ですが、ひとつの対策では万全とは言えません。
今回紹介した対策の内、どれか1つだけを採用するのではなく、上記の対策を組み合わせ、総合的なセキュリティ対策を用意しておくことが大切です。

参考