( 1 ) ゼロデイ攻撃とは?
ゼロデイ攻撃とは、OSやアプリケーションの脆弱性を狙い、その修正が行われる日(=ワンデイ)より前に行われるサイバー攻撃です。セキュリティホール(※1)が発覚すると、通常はバージョンアップや修正プログラムなどで修復しますが、ゼロデイ攻撃は対策以前の無防備な状態を狙うことが特徴です。
ソフトウェアやアプリケーションは、関連するソフトやツールと互換性を保つため、開発期間を短縮し、繰り返しアップデートする傾向が主流です。またそもそも脆弱性を完全に取り除いた商品の開発は現実的には難しくなっています。OS間での互換やプラグインの実装なども、脆弱性の発生機会となります。
一方で、ハッカーが脆弱性を検知する精度は向上しています。脆弱性分析にAIを悪用したり、脆弱性情報や攻撃に使用するマルウェアを売買したりするなど、ハッカーは巧みに情報を入手して攻撃を仕掛けます。
そのため防御や検知が難しく、サイバー攻撃の中で最も深刻な脅威という指摘もあります。
プログラムのアップデートや未知のマルウェアに対応するセキュリティソフトにより対策します。
※1 セキュリティホール:ソフトウェアなどを設計する際に、プログラムに不具合やミスが発生したことによる欠陥や弱点を指す。
( 2 ) ゼロデイ攻撃の種類と想定される被害
ゼロデイ攻撃には2種類あり、不特定多数を狙う「ばらまき型」と、特定の相手を狙う「標的型攻撃」があります。
・ばらまき型
訪問ユーザーが多いWebサイトの脆弱性を悪用し、不正プログラムを組み込んで不特定多数へ感染させる攻撃などが該当します。
・標的型攻撃
特定の企業やユーザーを狙いメールを送り、添付ファイルや本文中のリンクからゼロデイの脆弱性を狙ったマルウェアを感染させ、社内ネットワークに侵入するといった例が挙げられます。
特に標的型は明確な目的を持ち、長期的かつ段階的に攻撃が仕掛けられるため、セキュリティパッチ(※2)が公開されるタイミングには既に手遅れということも珍しくありません。
ゼロデイ攻撃でパソコンがマルウェアに感染すると、保存されている個人情報の流出や、ID・パスワードを悪用した成りすまし、さらには他のパソコンを攻撃する中継となって二次被害をもたらす可能性もあります。個人端末への攻撃を経由し、そこから企業ネットワークに侵入されると、情報漏洩やサービス停止、身代金要求など被害の拡大につながりかねません。これらは顧客への賠償や企業の信頼低下を招きます。
※2 セキュリティパッチ:セキュリティホールや脆弱性などの不具合を修正するためのプログラムのこと。
( 3 ) ゼロデイ攻撃による被害事例
近年発生したゼロデイ攻撃の事例を紹介します。
iOSメールアプリの脆弱性を悪用
2020年、iOSデバイスで実行されるメールアプリに脆弱性が発覚し、攻撃も既に開始されているとの報道がありました。攻撃者が送信したリッチテキスト形式のメールを受信すると、端末のメモリ消費が増大し、不正なコードを実行させられてしまう可能性が指摘されましたが、実際の攻撃被害はなかったとしています。
ブラウザの脆弱性で仮想通貨取引所が攻撃対象に
2019年、Webブラウザの脆弱性を突いたゼロデイ攻撃が発生しました。幸いにも、兆候を検出し適切な対応で阻止できたため実害は免れましたが、マルウェアの感染によりパソコンのコントロールが奪われる可能性や、標的となったのが仮想通貨取引所のコンピューターであったことから注目を集めました。
プラグイン(拡張機能)に度重なる脆弱性発覚
動画コンテンツの再生などに広く利用されているWebブラウザ向けのプラグインに対し、2015年に脆弱性を突いたゼロデイ攻撃が起きました。読み込みを行うと、マルウェアなどのソフトウェアをダウンロードし、実行するというものです。その後も新たな脆弱性を狙ったゼロデイ攻撃が複数回発生していたと指摘されています。
