ゼロデイ攻撃とは？特徴と手口、実際に攻撃を受けたときの対策などを解説

1-1. 脆弱性（セキュリティホール）とは？

脆弱性（セキュリティホール）とは、システムやアプリケーションなどに存在するセキュリティ上の欠陥や弱点を指します。たとえば、以下のようなものがあります。

• プログラムのバグ：不具合が悪用され想定外の動作が可能になる
• 設計上の欠陥：アクセス制御の漏れなど構造的なミス
• 外部ソフトの問題：外部連携ツールに含まれる欠陥

これらの脆弱性に気づくのが遅れると、攻撃者に悪用されるリスクが高まるため、適切な把握・管理が必要です。

特に修正プログラムが提供されているにもかかわらず、適用が遅れている場合、既知の脆弱性を抱えたまま運用することになり、攻撃リスクが高まります。また、設定の不備や初期設定のままの運用も、攻撃リスクが高まるため注意が必要です。

さらに、ゼロデイ攻撃のように、修正プログラムがまだ提供されていない脆弱性も存在している可能性があります。こうした脆弱性は、実際の攻撃を受けてから初めて発覚するケースも少なくありません。ふだんのセキュリティ対策だけでは十分に対応しきれないリスクがあることも意識しておきましょう。

業務のクラウド化が進む中で注目を浴びているのがCNAPPです。クラウド環境下のセキュリティリスクを監査し、設定ミスによる脆弱性をメールで通知します。人為的なミスや情報漏洩などの課題を解決することが可能です。くわしくは以下のページをご覧ください。

クラウド設定監査サービス CNAPPサービス

2-1. Webサイトの改ざん

ゼロデイ攻撃の代表的な手口のひとつがWebサイトの改ざんです。これはWebサイトの脆弱性を悪用し、悪意のあるコードを埋め込み、サイトへアクセスしたユーザーに対して不正なスクリプトを実行させるといった攻撃です。
たとえば以下のような被害が起こるおそれがあります。

• ユーザーの端末にマルウェアを自動的にダウンロードさせる
• フィッシングサイトや不正リンクへリダイレクトさせる
• 入力フォームを偽装してクレジットカード情報などを盗取する

Webサイトの改ざんによる攻撃は、Webサイトにアクセスするすべてのユーザーがターゲットとなり得ます。中には、アクセスしただけでマルウェアに感染する「ドライブバイダウンロード攻撃」という攻撃も存在します。ほかにも、特定の企業や業界を狙って、従業員が訪れる外部サイトにマルウェアを仕込む「水飲み場攻撃」のように、標的型の手口として使われることもあります。

企業が所有・管理するWebサイトに、マルウェアをダウンロードさせるリンクを設置されると、サイトに訪れたユーザーが不利益を被るわけです。クレジットカード情報の盗取による被害は請求がくるまでわかりません。被害が発覚して攻撃を受けたことがわかると、ユーザーは企業ブランドに対して不信感を抱いてしまうおそれもあるのです。

不正利用の損害額はカード会社から補償されることが多いですが、多数の被害が確認されると、企業ブランドの信頼低下にもつながることもあります。ビジネスにも大きな影響を及ぼすため注意が必要です。

2-2. メールを利用したマルウェア感染

メールはマルウェアの感染経路として非常に多く利用されているため注意が必要です。
標的型攻撃では上司や取引先を装ったメールが送られてくるケースが多く、違和感を与えにくい手法として悪用されています。ばらまき型攻撃では、メール本文にフィッシングサイトへ誘導するURLを貼り、クリックを誘導するものがあります。

ユーザーがメールに添付されたファイルやURLリンクをクリックすると、その端末が感染して情報漏洩につながるわけです。

とくにゼロデイ攻撃で使われるマルウェアは、既存のウイルス定義ファイルでは検知が難しく、メールのフィルタリング機能やウイルス対策製品ではブロックできないこともあります。

2-3. 侵入経路の多様化

不正アクセスとは、本来アクセス権限のない第三者が、正規の手順を踏まえずにシステムやデータにアクセスする行為を指します。IDやパスワードなどの認証情報が盗まれてシステムに侵入されるケースのほか、脆弱性やアクセス権の設定不備を突かれるケースなどです。具体的な被害は以下のようなものがあります。

• システムの改ざんや破壊行為
• 業務データや機密情報の流出
• 他ネットワークやサービスへの二次的な攻撃

企業のサーバーに侵入された場合、ランサムウェアをはじめとしたマルウェアが展開される危険性もあります。ランサムウェアとはマルウェアの一種で、感染すると端末のファイルが暗号化されたうえで、身代金が要求されます。こうした金銭を目的としたマルウェア感染は、年々増加傾向にあり、手口も巧妙化しています。

ランサムウェア攻撃の感染経路としては、VPN機器の脆弱性を悪用したものが多いです。VPN機器とは、遠隔地の拠点や自宅などから安全に社内ネットワークへ接続するために用いられる専用の通信機器です。

とくに近年では、テレワークや業務委託などオフィス以外で業務に関するデータを扱うケースも増えています。VPN機器のソフトウェアやファームウェアが最新でない場合、脆弱性を突かれ、外部から簡単に不正アクセスされるリスクがあるのです。

一度認証を突破すると、正規ルートでのアクセスができるようになります。直接的な被害だけではなく、広範囲に影響を及ぼすため、侵入経路として警戒すべき手口です。

2-4. 信頼関係の悪用

企業や組織は、取引先や委託先との信頼関係を前提に業務を遂行しています。しかしその「信頼」は、サイバー攻撃者にとって格好の標的となり得ます。企業間の接続や共有された情報やシステムを足がかりにして、本来の標的企業に攻撃をしかけることがあります。特にセキュリティ体制が十分ではない関係企業が狙われやすく、共有データや接続経路を通じて本来のターゲットに接近します。
代表的な手法は以下の3つです。

1. ビジネスパートナー経由の攻撃

関係企業を経由して標的システムに侵入する手法で、通信が正規の取引に見えるため、検知や対処が遅れやすくなります。

2. サービスプロバイダ侵害

クラウドサービスなどの提供元が侵害され、そこから利用企業に影響が及ぶ手法。利用者が多いほど影響も拡大します。

3. ソフトウェア更新の悪用

正規ソフトを装った更新プログラムなどを通じて、内部ネットワークへ不正アクセスされる手法。通常のアップデートと見なされ、検知が遅れがちです。

取引先が多い企業ほどリスクが連鎖しやすくなるため、自社だけではなくサプライチェーン全体を見据えたセキュリティ対策が欠かせません。

3-1. 直ちにネットワークを遮断する

サイバー攻撃を受けたと判断したら、すぐに該当する機器をネットワークから切断します。被害の拡大を防ぐには、迅速な対応が大切です。

とくに社内ネットワークを通じて他端末に拡散されるおそれがある場合や、継続的にアクセスしている可能性があるときは、すぐにネットワークから社内LANやWi-Fiを切り離さなければなりません。すぐに対応することで、最小限の被害に抑えることができます。

また、VPNやクラウドストレージなど外部と継続的に接続しているサービスがある場合も、切断状態を確認し、必要に応じてアクセスを制限します。USBなどの外部デバイスを接続しているときも、異変を感じたら物理的な取り外しを検討してください。

ここで大切なのは電源を落とさないことです。電源を落とすことでログが消える、実行トリガーが走る、といった挙動をするマルウェアがあります。他端末やサービスに被害が拡大しないように、まずはネットワークを切断しましょう。

3-2. セキュリティ担当者に報告する

サイバー攻撃を受けたら、社内のセキュリティを管理している部署に速やかに報告をしてください。初動対応が遅れると、被害が拡大するだけではなく、復旧に膨大な時間とコストがかかります。

セキュリティ担当者には、以下のように可能な限り詳細な情報を伝えることが大切です。

• 攻撃に気づいた日時と状況
• 影響を受けている端末
• 直前の操作や挙動
• 不審なメールやファイルの有無と開封状況
• 画面のスクリーンショットなど証拠となる情報

マルウェア感染や情報漏洩が疑われるときは、企業の規模を問わず、警察のサイバー犯罪対策課や監督官庁、個人情報保護委員会への報告が義務となることもあります。速やかに対応できるように、事前に報告体制を整えておくことで、混乱を最小限に抑えつつ被害を抑えることができます。

3-3. ウイルススキャンを行う

ネットワークの遮断と初期報告後は、感染の有無を確認するためにウイルススキャンをしましょう。マルウェアの検知・駆除には、基本的にセキュリティソフト（ウイルス対策ソフト）を使用します。スキャンを実行し、検知されたファイルを適切に隔離・削除しましょう。
再接続するときは、以下の手順で確実に対処する必要があります。

• ソフトを最新バージョンに更新する
• すべての領域をフルスキャンする
• 検知されたファイルを隔離・削除する機能を使う

ただし、ゼロデイ攻撃に使われるマルウェアは、従来のセキュリティソフトでは検知されないケースも少なくありません。検知率を上げるため、振る舞い検知やヒューリスティック分析に対応したセキュリティ製品を導入することをおすすめします。

スキャンで異常が検出されなかった場合でも、すぐにインターネットに再接続せず、システムの挙動を観察したうえで、必要に応じてセキュリティ担当者や外部の専門機関に相談することが重要です。

4-1. OSやソフトウェアのアップデート

そもそもゼロデイ攻撃は、パッチが提供されていないため、完全に防ぐのは困難です。しかし、OSやソフトウェアをつねに最新の状態に保つことはあらゆる攻撃を防ぐうえで重要です。とくに、サポート期間が終了したソフトウェアを使用しないようにしましょう。アップデートを怠ると、ゼロデイ攻撃だけではなく、あらゆるサイバー攻撃の標的になります。

社内端末のアップデートやパッチ適用の有無を管理・把握できるように体制を整えましょう。従業員への周知だけではなく、企業のIT部門や担当者が端末の状態を管理する体制が必要です。

企業規模が大きく、管理端末が多いときは管理ツールを導入することで、担当者の負担を軽減できます。基本的なセキュリティ対策を徹底することを心掛けることが重要です。

4-2. セキュリティソフト（ウイルス対策ソフト）の導入

ゼロデイ攻撃のリスクを最小限に抑えるために、セキュリティソフト（ウイルス対策ソフト）を導入しましょう。セキュリティソフト（ウイルス対策ソフト）は、予測したパターンに該当したマルウェアを検知し、リアルタイムでの保護機能やWebフィルタリング機能なども提供します。
ただし、セキュリティ対策ソフトだけでは十分な対策にはなりません。他の対策と組み合わせた多層的なセキュリティ対策が推奨されています。

4-3. EDRの導入

EDR（Endpoint Detection and Response）は、PCやサーバーなどエンドポイントを監視し、未知の脅威を検出して対応するセキュリティソリューションです。従来のセキュリティソフトなどウイルス対策製品では防ぎきれない攻撃の対策となります。

EDRは、侵入してしまったマルウェアを検知し、自動的に隔離して駆除します。これにより侵入検知や被害の拡大を防ぎ、再稼働可能な状態に復旧してくれるのです。

EDRには、マルウェアの侵入を防ぐ機能はついていませんが、侵入の兆候がないかリアルタイムで監視しているため、挙動の変化に早期に対応できます。攻撃者の行動ログなど収集したデータをもとに、再度攻撃を受けないための調査や分析につなげます。

4-4. サンドボックスを導入する

ゼロデイ攻撃への対策として、サンドボックスの導入は有効です。サンドボックスとは、ユーザーが通常利用する領域とは異なる仮想空間を指します。おもに開発環境で利用されるもので、コンピュータ上に保護された空間にプログラムなどを実行できる環境を構築するものです。

完全に独立した空間のため、不審なファイルを開いたり、プログラムを実行したりといった検証を行えます。もしマルウェアが検出されても、サンドボックスの外には影響がでることはありません。未知のマルウェアを検出できるため、従来のセキュリティ対策製品では検知できない攻撃の発見につなげることが可能です。

ゼロデイ攻撃はパッチが公開されていない段階で行われるため、一般的なセキュリティソフトでは見つけにくいことがあります。サンドボックスや他のセキュリティソフトとの組み合わせが、未知の脅威を扱うときに効果的な手段といえるでしょう。

4-5. 脅威インテリジェンスの活用

ゼロデイ攻撃を予防し、早期に対応するには脅威インテリジェンスを活用することが重要です。脅威インテリジェンスとは、サイバー攻撃に関する脅威情報を収集・加工・分析し、組織のセキュリティ強化を講じるための知識やデータを指します。セキュリティリスクは脆弱性と脅威の組み合わせのため、脅威インテリジェンスを活用することで、未知の脆弱性に対するリスクを軽減することが可能です。

脅威インテリジェンスの活用例は以下のとおりです。

• ファイアウォールやIDS/IPSに脅威情報を反映して自動防御
• インシデント発生時に、攻撃の手口を分析
• 最新の脅威を意識してセキュリティ体制を強化

脅威インテリジェンスを活用することで攻撃者や攻撃手法に関する幅広い情報を得ることができます。未知なる脅威にどう立ち向かえば良いのか、適切な防御策を講じ、迅速な対応を実現するために重要です。

脅威インテリジェンスツールを導入すれば、ファイアウォールやIDS/IPSに脅威情報を容易に反映できるようになります。そのため、最新のパッチでも対応できないゼロデイ攻撃への対策にも有効です。