2025.01.24
「脆弱性とゼロデイ攻撃」
目次
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。
これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。
本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。
今回のテーマは、「脆弱性とゼロデイ攻撃」です。
いずれもあまり聞きなれない言葉かもしれませんが、サイバーセキュリティでは非常に重要な用語ですので、ぜひ覚えておきましょう。
脆弱性とは
もともと「脆(もろ)くて弱い性質または性格」(「デジタル大辞泉」より)という意味ですが、ITの世界では「システムやネットワークのセキュリティ上の欠陥または、設定ミスによる欠陥のこと」(「情報セキュリティ用語辞典」より)という意味で使われます。
簡単に言えば、ハードウェアやソフトウェアに存在するセキュリティ上の弱点のことです。
プログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥を意味し、セキュリティホールとも呼ばれます。
攻撃者は脆弱性を悪用して攻撃を仕掛けてきます。例えば、システムの情報を窃取したり、システムそのものを停止または乗っ取ったり、偽のシステムに誘導して個人情報を盗み出すなど様々です。
では、なぜ脆弱性が生まれるのでしょうか。
いろいろな原因がありますが、いずれもシステムの不具合や設定ミスに起因します。
プログラムやシステムは、予測される様々な使用状況を想定して作られています。
しかし、想定外の入力に対する予測が不十分な場合、誤った処理が行われたり、システムが停止したりすることがあります。これが脆弱性の原因となります。
代表的な例として、SQLインジェクションという攻撃手法があります。
これはWebサイトのデータ入力欄にデータベースを操作するコマンドを入力することで、データベースを不正に操作したり、データを不正に入手するものです。このような攻撃は、入力内容を厳密にチェックしていないWebサイトの設計ミスを巧みに利用しています。
脆弱性への対応方法
繰り返しになりますが、脆弱性は想定外のデータが入力されたり、想定外の環境で使用されたりすることで発生します。
また、よくできたプログラムであるほど長期間使用され、別の環境で利活用されることもあります。脆弱性はどんなシステムにも存在し得ます。プログラムである以上、100%バグがないということは非常に難しいことです。
このような状況が進むと、時間の経過やシステム設定の変更によって新たなバグが発生することになります。
例えば、商品コードの体系を数字6桁から英数字6桁に変更したり、使用しているデータベース製品のバージョンアップにより、新たな環境設定が必要になったりすることです。
また、長年安全だと思って使用していたシステムに脆弱性が潜んでいたという事例もあります。
例えば、Webなどのインターネット通信を行う際に、安全にデータをやり取りするための暗号化通信方式として使用されてきたSSL 3.0は広く使用されていましたが、2014年に重大な脆弱性が発見されたため、TLS という別の暗号化通信方式に移行されました。
これらのことから、脆弱性に対応するためには、以下の2つの取り組みを継続的に行うことが必要です。
(1)セキュリティアップデートの適用
使用しているシステムの脆弱性が発見された場合、開発者等から配布されるセキュリティパッチやアップデートを早期に適用する。
(2)老朽システムの置き換え
保守が行われなくなった古いシステムは、新しい技術やシステムに移行する。
ゼロデイ攻撃
ゼロデイ攻撃とは、脆弱性に対応するアップデートやセキュリティパッチが提供される前に、その脆弱性を悪用したサイバー攻撃です。
対応するアップデートやセキュリティパッチを適用する前に攻撃が行われるため、防ぐことは非常に困難です。
攻撃手法は大きく分けて「標的型攻撃」と「ばらまき型攻撃」の2 つがあります。特にメールを利用した標的型攻撃の場合、悪意あるメールが送付されていても、攻撃を受けたことがわからないままとなる場合があります。
標的型攻撃メールについては前回解説しています。こちらも是非ご覧ください。
では、どうしたらよいのでしょうか。
標的型攻撃メールへの対応策として以前ご紹介したセキュリティソリューションであるUTMやEDRは、ゼロデイ攻撃に対しても有効です。
UTM、EDRはPCやサーバーの不審な動きを検出するツールです。ゼロデイ攻撃を100%防ぐことはできませんが、攻撃を受けた際の早期検知と迅速な対応が可能になります。
最後に
脆弱性はどんなシステムにも存在します。
また、新たな脆弱性が発見されると、それを利用したゼロデイ攻撃が行われます。
UTMやEDRを導入しても、ゼロデイ攻撃を100%防ぐことはできません。
では、どのような対策が有効でしょうか。
ゼロデイ攻撃も含めたサイバーセキュリティ事故が発生した場合の対応を事前に定め、訓練することによって、被害を軽減することができます。
このように、サイバーセキュリティ事故の発生を常に想定し、準備を整えておくことが重要です。
参考文献
- ゼロデイ攻撃とは? 仕組みや手段から被害、対策まで基本を広く解説|ICT Digital Column 【公式】NTTPCコミュニケーションズ
https://www.nttpc.co.jp/column/security/whats_0day-attack.html