ゼロデイ攻撃とは意味や定義を解説

ゼロデイの意味と定義

「ゼロデイ」とは広い意味の用語で、ハッカーがシステムの攻撃に悪用することが可能な最近発見されたシステムの脆弱性を指します。「ゼロデイ」という用語は、ベンダーや開発者が欠陥を知った直後を指しており、修正までの期間が「0日」であることを意味します。ゼロデイ攻撃は、開発者が欠陥に対処する前に、ハッカーが欠陥を悪用した場合に発生します。

ゼロデイは、0デイとも記載される場合があります。脆弱性やエクスプロイト、攻撃などの用語は、一般的にゼロデイと並んで使用されますが、これらの違いを把握することは有用です。

•ゼロデイ脆弱性とは、ベンダーが気付く前に攻撃者が発見したソフトウェアの脆弱性です。ベンダーが気付いておらず、ゼロデイ脆弱性用のパッチは存在しないため、攻撃が成功する可能性が高くなります。

•ゼロデイエクスプロイトとは、ハッカーがシステム攻撃に使用する、これまでに知られていない脆弱性を悪用する手法のことです。

•ゼロデイ攻撃とは、ゼロデイエクスプロイトを悪用して、脆弱性を持つシステムに損害を与えたり、データを盗むことです。

ゼロデイ攻撃の概要および仕組み

ソフトウェアには、ハッカーが悪用して大損害を引き起こす可能性があるセキュリティの脆弱性がしばしば存在します。ソフトウェア開発者は常にパッチを適用する脆弱性を探しています。つまり、解決策を開発して新しいアップデートでリリースしています。

ただし、ソフトウェア開発者が脆弱性を特定する前に、一部のハッカーや悪意のある行為者によって特定される場合があります。脆弱性はまだ対応されていないため、コードを記述したり実装して悪用することができます。これは、エクスプロイトコードと呼ばれます。

エクスプロイトコードが使用されると、なりすまし攻撃や他の形の犯罪により、ソフトウェアユーザーが被害を受ける場合があります。また、攻撃者は、ゼロデイ脆弱性を特定した後、脆弱なシステムにアクセスする手段が必要になります。攻撃者はアクセスを取得するために、しばしばソーシャルエンジニアリングメールを利用します。これは、知人や正規の相手から送られてきたように見えるが、実際は攻撃者から送られてきたEメールやメッセージのことです。このメッセージでは、ユーザーを説得して、ファイルを開いたり不正なWebサイトにアクセスするなどの行動を行うよう仕向けます。実行してしまうと、攻撃者のマルウェアがダウンロードされ、ユーザーのファイルに侵入し、機密データを盗み出します。

脆弱性が一般に知られると、開発者は、パッチを適用して攻撃を停止することを試みます。ただし、セキュリティ脆弱性は簡単には発見されないことが多くあります。攻撃につながる脆弱性を開発者が特定するまでに、数日や数週間、さらには数か月かかる場合もあります。また、ゼロデイ脆弱性のパッチがリリースされても、必ずしも全ユーザーが直ちに導入するとは限りません。近年は、脆弱性の発見後すぐにハッカーに悪用されるようになっており、スピードが速まっています。

エクスプロイトは、ダークウェブ上で高額で販売されている場合もあります。エクスプロイトが発見されパッチが適用された後は、ゼロデイ脅威とは呼ばれません。

ゼロデイ攻撃は、脆弱性を把握している人物が攻撃者のみの場合、特に危険です。サイバー犯罪者はネットワークに侵入すると、直ちに攻撃を行うか、絶好の攻撃の機会が来るまでじっと待ちます。

ゼロデイ攻撃を実行する人物

ゼロデイ攻撃を実行する悪意のある行為者は、さまざまなカテゴリに属しており、動機により異なっています。例を以下に紹介します。

•サイバー犯罪者 – 通常、金銭的な利益が動機のハッカーのことです

•ハクティビスト – 政治的または社会的な理由が動機のハッカーのことで、攻撃が表面化して注目を集めたいと考えています

•企業スパイ – 情報を取得するために、企業でスパイ活動を行うハッカーのことです

•サイバー戦争 – 他の国のサイバーインフラストラクチャをスパイ活動する、または攻撃する国または政治家のことです。

ゼロデイエクスプロイトの標的となる人物

ゼロデイハックでは、以下のようにさまざまなシステムの脆弱性が悪用される場合があります。

•オペレーティングシステム

•Webブラウザ

•Officeアプリケーション

•オープンソースコンポーネント

•ハードウェアやファームウェア

•IoT（モノのインターネット）。

その結果、潜在的な被害者は以下のように広範囲に及びます。

•ブラウザやオペレーティングシステムなどの脆弱なシステムを利用する個人。ハッカーはセキュリティ脆弱性を悪用してデバイスを侵害し、巨大なボットネットを構築する場合があります

•知的財産などの貴重なビジネスデータにアクセスする個人

•ハードウェアデバイス、ファームウェア、モノのインターネット（IoT）

•巨大な企業や組織

•政府機関

•政治的な標的および/または国家の安全上の脅威

標的型ゼロデイ攻撃と非標的型ゼロデイ攻撃の観点から考えることが重要です。

•標的型ゼロデイ攻撃は、潜在的に価値がある標的（巨大企業や政府機関、著名人など）に対して実行されます。

•非標的型攻撃は、通常、脆弱なシステム（オペレーティングシステムやブラウザなど）を利用するユーザーに対して攻撃を行います。

攻撃者が特定の個人を標的としていない場合であっても、通常、多くの人がゼロデイ攻撃で2次的な被害を受ける可能性があります。非標的型攻撃の目的は、可能な限り多くのデータを収集することであり、一般的なユーザーのデータが被害を受ける可能性があります。

ゼロデイ攻撃の特定方法

ゼロデイ脆弱性は、たとえば、データの暗号化や認証の欠落、アルゴリズムの欠陥、バグ、パスワードセキュリティの問題などさまざまな形が存在しますが、これらは検出が困難です。ゼロデイエクスプロイトに関する詳細な情報が得られるのは、この種の脆弱性の性質上、エクスプロイトが特定された後に限られます。

ゼロデイエクスプロイト攻撃は、企業や組織からは、クライアントやサービスから発信された予期しないトラフィックか、不審なスキャン行為に見える場合あります。ゼロデイ攻撃の検出技術の一部を次に説明します。

•マルウェアとマルウェアの挙動に関する既存のデータベースを参照として利用します。マルウェアのデータベースは非常に迅速に更新されるため参照ポイントとして有用ですが、ゼロデイエクスプロイトは定義上、新しい未知のものです。したがって、既存のデータベースから把握できることには限界があります。

•また、一部の手法では、標的システムとのやりとりをベースに、ゼロデイマルウェアの特徴を探します。この手法は、受信ファイルのコードを調べるのではなく、既存のソフトウェアとコードとのやりとりを監視し、悪意のある行為によるものか判断を試みます。

•現在、データの検出に機械学習が使用されることが増加しており、過去に記録されたエクスプロイトから、過去と現在のシステムとのやりとりに基づいて、システムの安全な動作のベースラインを確立しています。得られるデータの量が増えると、検出の信頼性が高まります。

異なる複数の検出システムによるハイブリッド形式もしばしば利用されます。

ゼロデイ攻撃のイメージ

ゼロデイ攻撃の例

ゼロデイ攻撃の最近の例の一部を次に紹介します。

2021: Chromeゼロデイ脆弱性

2021年に、Google Chromeは一連のゼロデイ攻撃の被害を受け、Chromeの更新を発表しました。この脆弱性は、Webブラウザで使用されるV8 JavaScriptエンジンのバグが原因でした。

2020年： Zoom

人気のビデオ会議プラットフォームで、脆弱性が発見されました。このゼロデイ攻撃の例では、古いバージョンのWindowsが稼働している場合、ハッカーはユーザーのPCにリモートからアクセスできました。標的が管理者の場合、ハッカーはマシンを完全に乗っ取り、すべてのファイルにアクセスできました。

2020年： Apple iOS

AppleのiOSは、しばしば主要なスマートフォンプラットフォームで最も安全だと言われています。ただし、2020年に少なくとも2つのiOSゼロデイ脆弱性の犠牲となり、その中には、攻撃者がiPhoneにリモートで不正侵入することが可能な脆弱性も含まれていました。

2019年：Microsoft Windows、東ヨーロッパ

この攻撃は、Microsoft Windowsのローカル権限の昇格に焦点を当てたもので、東ヨーロッパの政府機関が標的となりました。このゼロデイエクスプロイトは、Microsoft Windowsのローカル権限の脆弱性を悪用することで、任意のコードの実行、アプリケーションのインストール、および侵害を受けたアプリケーションのデータの閲覧や変更が可能になります。この攻撃が識別されMicrosoft Security Response Center（MSRC）に報告された後、パッチが開発され、展開されました。

2017年： Microsoft Word

このゼロデイエクスプロイトは、個人の銀行口座に不正侵入します。被害者は、不正なWord文書を無意識に開いた人々でした。この文書には、「load remote content（リモートコンテンツの読み込み）」というプロンプトが現れ、「requested external access from another program（別のプログラムから外部アクセスが要求されました）」というポップアップがユーザーに表示されます。被害者が「yes（はい）」をクリックすると、デバイスにマルウェアがインストールされ、銀行のログイン資格情報を取得できました。

Stuxnet

ゼロデイ攻撃で最も有名な例の1つがStuxnetです。この不正なコンピュータワームは2010年に最初に発見されましたが、ルーツは2005年まで遡り、PLC（Programmable Logic Controller）ソフトウェアを実行する産業用コンピュータが被害を受けました。主な標的はイランの核濃縮プラントで、同国の核計画を混乱させました。このワームは、Siemens Step7ソフトウェアの脆弱性を介してPLCに感染し、組み立てラインでPLCによる予期しないコマンド実行を引き起こしました。Stuxnetの物語はその後、「Zero Days」という名前でドキュメンタリ化されました。

ゼロデイ攻撃の対策

ゼロデイ攻撃から身を守り、コンピュータとデータを安全に保つには、個人と組織の両方がサイバーセキュリティのベストプラクティスに従うことが不可欠です。これには次のものが含まれます。

すべてのソフトウェアとオペレーティングシステムを最新の状態に保つ。これは、最新のリリースには、ベンダーによって、新たに発見された脆弱性に対処するセキュリティパッチが追加されているためです。最新の状態に保つことで、より安全を確保できます。

必須のアプリケーションのみ使用する。使用するソフトウェアが増えると、関係する潜在的な脆弱性が増加します。必要なアプリケーションのみ使用することで、ネットワークへのリスクを軽減できます。

ファイアウォールを使用する。ファイアウォールは、ゼロデイ攻撃からシステムを保護する上で重要な役割を果たしています。保護を最大化するには、ファイアウォールを構成して、必要なやりとりのみ許可します。

組織内におけるユーザー教育。多くのゼロデイ攻撃は、人間のミスを利用します。従業員やユーザーに対して適切な安全およびセキュリティ習慣を教えることで、インターネットの安全を維持し、ゼロデイエクスプロイトや他のデジタル脅威から企業や組織を守ることができます。

包括的なアンチウイルスソフトウェアを使用する。カスペルスキーセキュリティは、既知の脅威と未知の脅威の両方をブロックすることで、ユーザーのデバイスの安全を守ることができます。

関連記事：