増加するゼロデイ攻撃

近年、大きな話題となったSolarWinds、 Log4Shell、Heartbleed、Colonial Pipelineなどに対するサイバー攻撃には、ゼロデイ攻撃という共通点があります。ゼロデイ攻撃は、これまで判明していない、もしくはパッチが公開されていない脆弱性を利用するため、特に危険なハッキングの手段です。

企業によっては、侵入から修正までの時間が数日、数週間、数カ月、あるいは数年に及ぶこともあり、ハッカーは影に隠れて攻撃を計画していることもあります。

  • ゼロデイ攻撃

ゼロデイ攻撃による問題は拡大しており、FBIの最新の年次インターネット犯罪報告書によると、2021年には、ランサムウェアが649の重要インフラ組織に影響を与えました。米国の独立系調査会社のPonemon Instituteは、成功した侵害の最大80%がゼロデイ攻撃であると述べています。

また、MITテクノロジーレビューのレポートでは次のように記述されています。「報告されたゼロデイ攻撃数の増加の一因は、世界的なハッキングツールの急速な普及にある。強力なグループは、ゼロデイ攻撃のために多額の投資を行い、報酬を得ている」。さらに、それらのグループの多くは、国家の支援を受けています。

増加の要因は?

ゼロデイ攻撃が近年増加している要因は、コミュニティ活動によるゼロデイ攻撃を検出・報告する能力が向上したことも挙げられますが、そのほかには以下のようなものがあります。

  • クラウド、モバイル、IoTの普及により、インターネットに接続されたソフトウェアやシステムが増加し、複雑性が増加
  • 国家の支援を受けるサイバーグループによるゼロデイ攻撃の増加
  • 犯罪者集団の技術力の向上
  • 金銭目的でゼロデイ攻撃をする犯罪者集団の増加
  • エクスプロイト・ブローカー市場の拡大

日本でも情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2022」内で「組織向け脅威」として、修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)が今年初めて7位にランクインし、関心が高まっていることが明らかになっています。

  • IPAの「情報セキュリティ10大脅威2022」より。組織向け脅威のランキング

    IPAの「情報セキュリティ10大脅威2022」より。組織向け脅威のランキング

戦略立案で考慮すべきポイント

脅威の深刻さを考えると、ゼロデイ攻撃から身を守るために、組織は積極的かつ包括的なアプローチを取る必要があります。ここでは、戦略を立てる際に考慮すべきポイントを5つご紹介します。

1. ソフトウェア開発における強力なセキュリティ衛生管理

今日の速いペースで進む多面的な開発環境では、脆弱性を生まないようにすることが以前より難しくなってきています。

モジュラーコンポーネントを多用することで、開発者がオープンソースやその他のサードパーティのコードやツールなど、自分たちでコントロールできないリソースをしばしば使用する機会が増えています。つまり、あらゆる可能性のあるセキュリティホールを特定することは本質的に困難なのです。

その結果、組織は脆弱性を発見するための対策を強化させることが重要です。例えば、ソフトウェアパイプライン全体のセキュリティを評価するための侵入テストは、すべての企業で標準的に実施されるべきものです。また、悪用される可能性のある企業のインフラの脆弱性を検出するために雇われるホワイトハッカーであるバウンティハンターを利用することも賢明な方法です。

また、企業はシステムやデータを長期にわたって継続的にスキャンすることで、侵害をいち早く発見し、迅速に修復することができます。このような内部統制は、すべての脆弱性を阻止することはできないかもしれませんが、将来的にセキュリティ上の大きな問題につながる可能性がある開発中に発生した目に見えないエラーの検出に、大きな効果を発揮します。

2.ゼロトラストセキュリティ

ゼロトラストは、企業内のあらゆるものが攻撃の対象となりうると想定した「誰も信用せず、常に検証する」セキュリティアーキテクチャです。

ゼロトラストでは、基本的な認証情報を持つユーザーやデバイスにデジタル資産への幅広いアクセスを与える従来の「trust but verify」モデルとは異なり、必要最小限のユーザーとデバイスにアクセスを制限し、特権的なアクセスには時間的制約を設け、すべてのアクセスポイントを潜在的な侵害のポイントと見なします。

ゼロトラストは従来、ネットワークセキュリティのモデルと見なされてきましたが、その原則はデータセキュリティとセキュリティアーキテクチャ全般にも適用できます。ゼロトラストは、オンプレミス、クラウド、SaaSのワークロード全体でデータを守るための優れたモデルです。

ゼロトラストセキュリティは、起こりうるすべての攻撃からネットワークを保護するわけではありませんが、リスクを低減し、脅威の検出を加速させます。規模や業種に関係なく、すべての組織で採用するのが賢明です。

3. パッチの適用を厳格に行うこと

ゼロデイ攻撃は、これまで知られていなかった脆弱性から始まります。幸いに攻撃が成功する前に、脆弱性を塞ぐパッチが発行されたとしても、それを適用するかどうかは企業次第です。

2020年、FBIは2017年におきた消費者信用調査会社のEquifaxに対するサイバー攻撃の実行犯として、中国軍に支援された4人のハッカーを起訴しました。このサイバー攻撃は、国家支援者による過去最大の個人特定情報の盗難につながりました。

攻撃者は当初、同社がパッチを適用していない広く知られた脆弱性を利用し、消費者からの苦情用ウェブポータルからアクセスしていました。パッチの監視と管理は、非常に時間がかかり退屈な作業です。しかし、このように負担の大きい作業であっても、組織はしっかりとしたパッチ適用に関する規律を確立するほかありません。予防は治療に勝るのです。

4. トレーニング

企業規模や業種にかかわらず、すべての企業は、自社が潜在的な標的であることを想定し、攻撃から身を守るための社員教育を積極的に行う必要があります。

トレーニングもかなりの時間と労力を要する分野ですが、ゼロデイ攻撃やその他のあらゆる攻撃のリスクを軽減するためには、従業員教育が必須です。最適なトレーニングは、フィッシング攻撃に対する意識向上プログラムから、セキュリティの抜け道を避けるために開発者ができること学ぶプログラムまで、多岐にわたります。

5. 復旧計画

残念ながら、上記の4つの対策を講じても攻撃は起こり得ます。これは、単に今日の脅威の状況や、構想時にセキュリティを考慮して構築されていないレガシーテクノロジーを使い続けているためです。したがって、組織は、ゼロデイ攻撃が発生した場合の計画を立てておく必要があります。

企業が自らに問うべき質問は以下の通りです。

  • すべてのデータ、特に機密性の高いデータがどこにあるか知っているか?(特に、最も重要なデータがどこに保管されているかを把握しているか(驚くほど多くの企業がこの点を十分に理解していません)。
  • 復旧計画やバックアップ計画をきちんと立てているか。
  • どのような手順で、どのような順番で、誰が主導し実行するのかを説明した既定のプロセスがあるか?
  • どれくらいのスピードで復旧できるか?実際のシナリオを想定して、復旧の方法をテストしたか?

もし、このどれかの答えが「いいえ」であれば、ゼロデイ攻撃から立ち直るのは、必要以上に困難であることは間違いないでしょう。

ゼロデイ攻撃は、組織が直面する最も厄介なサイバーセキュリティの脅威の1つです。しかし、以上の5つのポイントが示すように、想定外の事態に備えることは可能です。防御は、脅威と同じくらいアグレッシブに行う必要があるのです。

石井 晃一

石井 晃一

いしい こういち

Rubrik Japan カントリーマネージャー
ヴイエムウェアやタニウムでの国内におけるパートナービジネスを主導した経験をもとに、Rubrikの日本におけるパートナービジネスを強化し、ゼロトラストをベースにしたサイバーセキュリティの普及に尽力している。2019年11月より現職。

この著者の記事一覧はこちら