zeroday

ゼロデイ攻撃とは?最新の手口や事例・有効な対策を紹介

by ブログ

企業や個人を狙ったサイバー攻撃の中でも、とくに検知が難しく、深刻な被害をもたらすもののひとつが「ゼロデイ攻撃」です。ソフトウェアの不具合を突く手口は年々巧妙化しており、最新のセキュリティ対策を講じていても、完全な防御は困難とされています。

この記事では、ゼロデイ攻撃の基本から主な手法、実際の被害事例、そして有効とされる多層的な対策手段を紹介します。

 

ゼロデイ攻撃とは?

「ゼロデイ攻撃」とは、ソフトウェアの欠陥(脆弱性)が発見され、修正プログラム(セキュリティパッチ)が提供される前に、その隙を突いて行われるサイバー攻撃のことです。

脆弱性は設計上のミスや不具合に起因し、攻撃者に悪用されると情報漏えいや不正侵入などの被害が生じることがあります。パッチ適用までの「ゼロ日間」を狙うことから、この名が付けられています。

 

Nデイ攻撃とは

ゼロデイ攻撃に似た手口として「Nデイ攻撃」があります。これは、すでに対策用のパッチが公開されている脆弱性を狙うサイバー攻撃です。ゼロデイ攻撃ほど高度な技術は必要とされず、インターネット上に概念実証コード(PoC)や攻撃に使えるツールが出回っているため、攻撃者にとって扱いやすい点が特徴です。

対策が遅れると、情報漏えいやデータ改ざん、システム破壊など深刻な被害に発展するリスクが高くなるため、十分な注意が必要とされています。

 

ゼロデイ攻撃の主な手口

ゼロデイ攻撃にはさまざまな手法が存在し、メールやWebサイト、ソフトウェアの脆弱性などを悪用して実行されます。ここでは、近年特に多く確認されている代表的な攻撃手口について解説します。

 

メールを使った手法

メールを使った攻撃の手口として、業務連絡や請求書の通知を装い、マルウェアを含むファイルを添付するケースがあります。受信者が添付されたWordファイルやPDFを開くと、端末がウイルスに感染し、社内の情報が外部に漏れたり、不正にアクセスされたりする危険があります。

このような攻撃は、特定の企業や団体を狙う「標的型攻撃」と、不特定多数に同時に送信する「ばらまき型攻撃」に分けられます。実際に国内外の多くの企業が、業務を停止したり金銭的な損害を受けたりする被害を経験しています。

 

Webサイトの脆弱性を悪用した手法

Webサイトの脆弱性を悪用する手口のひとつに、「Webページの改ざん」があります。この攻撃では、ページ内に悪意あるコードが埋め込まれ、訪問者が意図せずスクリプトを実行してしまう事態が発生します。

その結果、訪問者のパソコンにマルウェアが自動的にダウンロードされたり、入力された氏名や連絡先といった個人情報が盗まれたりする被害につながります。とくにアクセスが集中する人気サイトは狙われやすく、企業や団体には継続的な対策が求められます。

 

オフィスファイルを悪用した手法

ゼロデイ攻撃では、WordやExcel、PDFなどのファイルに仕込まれたマクロやスクリプトを利用して感染させる手法もあります。

受信者が何気なくファイルを開いた瞬間に悪意あるコードが実行され、マルウェアが自動的にダウンロードされます。こうしたファイルは、主にメールやSMSを通じて送りつけられ、情報漏えいや業務停止といった深刻なリスクを引き起こすこともあります。

 

ソフトやツールの脆弱性を悪用した手法

日ごろ業務で使われているツールやソフトウェアも、脆弱性を突かれると攻撃の入り口になります。設計上の欠陥を狙うゼロデイ攻撃は、メールを使った手口と同様に、特定の対象を狙う「標的型」と、不特定多数に仕掛ける「ばらまき型」の両方が存在し、さまざまな組織に被害が広がっています。

最近では、セキュリティ対策の一環として使われているVPN製品に対する攻撃が増えています。警察庁の報告によれば、ランサムウェア感染の半数以上がVPNの脆弱性をきっかけに発生しています。

 

ゼロデイ攻撃に関する事例

過去、ゼロデイ攻撃による被害はどのようなものがあったのでしょうか。ここでは代表的な事例を3つ紹介します。

 

事例1|「Log4Shell」を悪用したケース

Log4Shellは、2021年11月に見つかったApache Log4j(Javaで開発されたアプリケーション向けのログ出力ライブラリ)の深刻な脆弱性で、危険度を示すCVSSスコアで最高の「10」が付けられました。

この問題が公表されてから、世界各地で数百万件の攻撃が確認され、1分間に100件を超える試行が行われたという報道もあります。Amazon、Google、Appleといった大手のクラウドサービスやアプリにも影響が及び、全体の4割を超える企業ネットワークが標的になったとされています。

 

事例2|法人向けメールサービスで30万件超の情報漏えい

2025年4月、大手IT企業が提供する法人向けメールセキュリティサービスにおいて、約30万件を超えるメールアカウント情報が外部に漏えいしたことが判明しました。

原因は、当該サービスの導入時に利用されていたメール基盤の脆弱性が、ゼロデイ攻撃によって悪用されたことによるものでした。現在、同社では24時間体制のセキュリティ監視を強化するとともに、再発防止に向けたシステムの見直しを行っています。

 

事例3|大手コーヒーチェーンのオンラインストアで情報漏えい

2024年5月、大手コーヒーチェーンのオンラインストアが不正アクセスを受け、個人情報やクレジットカード情報が流出する事件が発生しました。

漏えいしたのは、およそ9万人の登録情報と約5万人分のクレジットカード情報で、不正アクセスの原因はシステムの脆弱性によるものでした。さらに、ペイメントアプリケーションの改ざんも行われ、大規模な情報漏えいに発展したとみられています。

 

ゼロデイ攻撃におすすめの対策とは

ここまでゼロデイ攻撃について紹介してきましたが、おすすめの対策はあるのでしょうか。ここでは、3つの方法を紹介します。

 

最新のセキュリティパッチを適用する

ゼロデイ攻撃に対する最も有効な対策のひとつは、最新のセキュリティパッチを迅速かつ確実に適用することです。パッチの未適用は、既知の脆弱性をそのまま放置することになり、攻撃者に悪用されるリスクが高まります。

特に管理対象のソフトウェアや端末が多い場合は、専用のパッチ管理ツールを活用することで、適用状況の一元管理や可視化が可能となり、全体のセキュリティリスクを大幅に軽減することができます。

 

従業員へセキュリティ教育を行う

サイバー攻撃の多くは、操作ミスや油断といった人為的な隙を突いて行われます。そのため、従業員が日常的にセキュリティを意識しながら行動する姿勢が、組織全体の防御力を高めるうえで欠かせません。

定期的な社内研修やeラーニングを通じて、脅威に対する理解を深めるとともに、適切な対応力を身につけられます。教育の効果により、攻撃の兆候にも早く気づきやすくなり、万が一のインシデント発生時にも落ち着いて行動できるため、被害の拡大を防ぎやすくなります。

 

セキュリティソフトやツールを活用する

ゼロデイ攻撃に備えるうえでは、複数の対策を組み合わせた多層的な防御が重要です。たとえば、ウイルス対策ソフトは既に知られているマルウェアへの対処に適していますが、未知の攻撃にはEDR(エンドポイントでの振る舞い検知)といったツールが有効です。

さらに、WAF(Webアプリケーションファイアウォール)を導入すれば、Webサイトへの不正アクセスや改ざんのリスクも抑えられます。最近では、ひとつのルールで数百の攻撃パターンに対応できる「ロジック型」の防御方法にも注目が集まっており、こうした複数の仕組みを適切に組み合わせることで、日々変化するサイバー攻撃への耐性を高める動きが広がっています。

 

まとめ

ゼロデイ攻撃は、これまでのサイバー脅威とは性質が異なり、従来の対策の隙を突く高度な手法です。まだ発見されていない脆弱性を狙うため、決まった対策だけでは対応が難しくなります。企業は技術的なセキュリティ対策に加え、情報の取り扱いや社内体制の見直しにも取り組む必要があります。

「Cloudbric WAF+」は、クラウド経由で提供されるWAFであり、初めての方でも扱いやすい設計となっています。ゼロデイ攻撃を含む多様な脅威からWebサイトやアプリケーションを幅広く守る仕組みを備えています。

Cloudbric WAF+に関するご相談や詳細の確認をご希望の方は、お問い合わせフォームからご連絡ください。
クラウド型WAFサービス Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

2021年度版サイバー攻撃の動向

サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

by ブログ

コロナ過を踏まえインタネットは個人だけでなく企業・法人にも欠かせない存在となり、2021年現在、企業におけるデジタル化への対策は待ったなしの状況となっています。インタネットを通じて日々膨大な情報が行き交っていますが、世界規模でみれば同時に悪意のある第3者によるサイバー攻撃事例が日々発生しています。

このようなサイバー攻撃に対抗する手段として、政府も「サイバーセキュリティ基本法」を策定するなど動きか活発化しています。サイバー攻撃を防ぐためにも、Webセキュリティ対策は最重要です。また、現代社会におけるサイバー攻撃に関する動向や、直近で発生した事件・事故、セキュリティ問題についても知っておく必要があります。

 本記事では、2021年度上半期に発生したサイバー攻撃の事件・事故などについて解説しています。

 

2021年度!セキュリティ問題と脅威ランキングTOP3

まずは、2021年度に発生した脅威やセキュリティ問題について、詳しくみていきましょう。

3位|テレワークなどのニューノーマルな働き方を狙ったサイバー攻撃 

2020年以降、新型コロナウイルスの感染防止を目的に、テレワークでの働き方が推進されています。このような社会的な背景から、テレワークなどのニューノーマルな働き方を狙った企業へのサイバー攻撃件数が増加しています。そもそも、悪意のある第3者がテレワークでの働き方をターゲットとする理由は、従業員の出社を前提とした従来のWebセキュリティ対策ではカバーできないことが挙げられます。つまり、企業努力によるWebセキュリティ対策を施していても、従業員個人では認識が甘く、穴を突いてサイバー攻撃を仕掛けてくるということです。また、突然の緊急事態宣言の発令で、セキュリティ対策に関する計画を立てる間もなくニューノーマルな働き方の導入をすることになった企業も少なくありません。そのため、ニューノーマルな働き方を推進している現代社会において、Webセキュリティの脆弱性が問題視されています。 

2位|標的型攻撃による機密情報の窃取 

機密情報を狙った標的型攻撃は、2021年度も継続して発生しています。標的型攻撃とは、明確な目的を持って特定の企業などに狙いを定めて仕掛けるサイバー攻撃のことです。悪意のある第3者が標的型攻撃を行う目的は、攻撃対象への嫌がらせが目的です。また、その際に機密情報を窃取するケースも少なくありません。

金額的被害だけでなく、顧客の個人情報など企業にとって致命的な情報が流出した場合、Webセキュリティが問題視され、取引停止や企業イメージの失墜など、間接的被害を受ける可能性もあるので要注意です。

 1位|ランサムウェアによる被害 

2020年度は5位だった、ランサムウェアによるサイバー攻撃が、2021年度は急増しています。ランサムウェアとは、コンピュータウィルスの1種で、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語です。パソコンだけでなく、タブレット端末やスマートフォンのOSにも感染する危険性が伴います。

ランサムウェアに感染すると、Webセキュリティ問題が発生して保存しているデータが、勝手に暗号化されて使えない状態にされたり操作できなくなったりしてしまいます。企業や店舗に嫌がらせをすることが目的の場合もありますが、復旧を条件に悪意のある第3者が金銭(身代金)を要求してくるケースも少なくありません。また、金銭を支払っても、ランサムウェアによる攻撃で窃取された情報やデータを暴露されてしまうケースも発生するため、このような事例では、絶対に身代金は支払わないようにしましょう。

 

2021年度!サイバー攻撃の動向や事件・事故の事例3選

次に、2021年度に発生したサイバー攻撃の動向や事件、事故の事例を紹介します。なお、GSX発表の「2021年ニュース一覧」を参考にしています。

ランサムウェア攻撃の事例(DearCryによる攻撃)|2021年3月

2019年後半以降、ランサムウェアによる攻撃は2重の脅迫を用いた手口での攻撃が増加しているだけでなく、新種・亜種のランサムウェアウィルスが続々と確認されています。

2021年3月16日にはMicrosoft社が、「Microsoft Exchange Server」のWebセキュリティの脆弱性を悪用した「DearCry」と呼ばれる新しいランサムウェアが確認されたことを発表しました。「DearCry」は、悪名高いランサムウェア「WannaCry」の亜種だとみられています。「Microsoft Exchange Server」 のオンプレミス版に存在している複数のWebセキュリティの脆弱性が、パッチによって修正されるまでにゼロデイを狙ってばらまかれました。

その後は、米国やカナダ・オーストラリアを中心に、多くのサイバー攻撃やWebセキュリティ問題が報告されました。

スマホ決済の不正利用の事例(PayPayを使った不正チャージ)|2021年3月

2021年3月18日、警察庁が、スマートフォン決済サービスを利用した不正チャージ事件についての情報を公開しました。事件が発生したのは2020年9月、確認された被害は全国11行で157件、被害額は2760万円に上っています(9月17日午前0時時点)。また、ドコモ口座とPayPayだけでなく、ゆうちょ銀行の口座と連携するメルペイやKyash・LINE Pay・PayPal・支払秘書などでも被害が確認されました。

警察庁はこの事件が悪意のある第3者がどのような手口でサイバー攻撃を行ったのかという内容を発表しましたが、主な手口のポイントは、下記の3つです。

  • 携帯電話販売代理店から不正入手した個人情報を無断で利用し、預貯金口座をスマートフォン決済サービスとひも付けてチャージを実施
  • 第3者の電子メールアカウントを無断利用して、スマートフォン決済サービスのアカウントを作成
  • アカウント作成から被害口座との連携を短期間で大量に行い、買い子が別の端末から連続して決済を実施

 いずれも、Webセキュリティの脆弱性を衝いたサイバー攻撃でした。

ニューノーマルな働き方を狙った事例(RDP総当たり攻撃)|2020~2021年

2020~2021年にかけて急増しているWebセキュリティ問題を衝いたサイバー攻撃が、テレワーク端末を狙った「RDP総当たり攻撃」です。テレワークの導入に取り組んでいる企業で、この攻撃を受けた事例が数多く報告されています。

 RDP(Remote Desktop Protocol)とは、導入したサーバに対してクライアント端末からリモートデスクトップ接続する機能を提供するマイクロソフトのサービスのことです。RDPを導入した端末をリモートデスクトップ接続するために利用する「ID/パスワード」に対して、不正アクセスを試みるために総当たり攻撃をしてくる手法を「RDP総当たり攻撃」と呼びます。近年、コロナ禍の影響で、企業によるテレワーク導入が急加速しました。そして、USBモデムやSIM内蔵端末を利用するためにグローバルIPを割り当てた端末が急増したことが、Webセキュリティ問題の増加に繋がったと考えられています。

 

さいごに

今回は、2021年度のサイバー攻撃の動向や事件・事故などについて、詳しく解説してきました。また、各事例に対するWebセキュリティ問題についても考察してきました。

Webセキュリティ対策の精度は年々進化していますが、それ以上にサイバー攻撃の手口は巧妙化しています。そのため、2021年上半期以上に、下半期はテレワークなどのニューノーマルな働き方を狙った攻撃、OSやアプリのWebセキュリティの脆弱性を狙った攻撃は激化すると予測されます。また、総務省発布の「平成30年度情報通信白書」によると、政府が積極的にセキュリティ問題に取り組んでいることが明確化されているため「サイバーセキュリティ基本法」の動向にも注目です。

そして何より、今後も引き続き、Webセキュリティ問題に警戒することが重要といえるでしょう。

ゼロデイ(Zero-day)攻撃

ゼロデイ攻撃とは?DDoS攻撃の標的となった際の3つの対処法を解説!

by ブログ

近年、中小企業が悪意のある第3者からサイバー攻撃を受ける事例が増加しています。悪意のある第3者からの攻撃にはさまざまな手口が存在しますが、ゼロデイ攻撃(Zero-day Attack)もその1つです。また、ゼロデイ攻撃だけでなく、DDoS攻撃の標的となる危険性もあるため早めのWebセキュリティ対策を心掛けておかなければなりません。

本記事では、ゼロデイ攻撃を受け、さらにDDoS攻撃の標的された場合のWebセキュリティ対策について解説しています。

 

ゼロデイ攻撃とは?DDoSの標的となる可能性も解説!

そもそも、 Webセキュリティ上の脆弱性を衝いたサイバー攻撃の一種であるゼロデイ攻撃(Zero-day Attack)とは、どのようなサイバー攻撃なのでしょうか。詳しくみていきましょう。

ゼロデイ攻撃とは?

悪意のある第3者から受けるサイバー攻撃といえば、導入しているOSやアプリケーションのWebセキュリティ上の脆弱性を狙った攻撃が一般的です。OSやアプリケーションの脆弱性が発見された場合、提供元はすぐにその脆弱性を改善した新バージョンのOSや修正プログラム・パッチを開発し対策を取ります。

しかし、脆弱性が発見されてからすぐに対策を取るのは非常に困難で、その脆弱性解消の対処・対策が確立されるまでには、どうしても期間が必要です。そして、脆弱性の発見から対策方法の確立までの期間のことを「ゼロデイ(Zero-day)」と呼び、その期間を狙って攻撃してくる手法を「ゼロデイ攻撃」と呼んでいます。

ゼロデイ攻撃は、対策ができていないWebセキュリティ上の脆弱性を狙ってくるため、取り得る防御手段が少なく大きな被害を受けるケースも少なくありません。

DDoS攻撃の標的となる可能性は?

ゼロデイ攻撃によって、顧客情報が盗み出されるなどの直接的な被害を受けるだけでなく、間接的な被害を受けてしまう可能性もあります。

間接的な被害とは、DDoS攻撃に利用するゾンビマシンの標的となることを意味します。そもそもDDoS攻撃とは、ターゲットとしている企業サイトやWebサーバに、複数のコンピューターから大量の情報を送り、サービスの遅延・停止を起こさせる攻撃方法を指します。また、ターゲット企業のサービスに影響を与える目的だけでなく、その攻撃を止める条件として金銭(身代金)を要求する目的でDDoS攻撃を仕掛けるケースもあります。

このDDoS攻撃には複数のコンピューターが使用されますが、そのほとんどが悪意のある第3者がこの攻撃のために別のサイバー攻撃で乗っ取った「ゾンビマシン」が使用されています。

ゾンビマシンとは、サイバー攻撃によって侵入したウィルスやプログラムの改ざんによって、悪意のある第3者が遠隔操作できるようにされたコンピューターのことで、このゾンビマシン化されたコンピューターは、Webセキュリティの脆弱性のあるOSやアプリケーションを使っているケースも珍しくありません。そのため、Webセキュリティ対策が未熟なゼロデイを狙って、DDoS攻撃を仕掛けてくる場合があります。

もし、ゾンビマシン化されたコンピューターでDDoS攻撃を仕掛けたターゲット企業が取引先だった場合、それによって取引が中止したり損害賠償を求められる可能性もあります。

 

ゼロデイ攻撃の事例

ゼロデイ攻撃によってコンピューターがゾンビマシン化され、DDoS攻撃に使用された可能性のある事例についてみていきましょう。

2014年11月4日、トレンドマイクロが、同社公式ブログでWebセキュリティの脆弱性「Shellshock」を利用した新たな攻撃を確認したことを発表しています。その発表は、Linuxなどで使用されているオープンソースプログラム「Bourne-again shell(Bash)」コマンドシェルに重大な脆弱性が見つかったことが発端で、その対策完了までに、DDoS攻撃などのさまざまなサイバー攻撃が確認されました。例えば、Webセキュリティの脆弱性「Shellshock」を利用してSMTP(Simple Mail Transfer Protocol)サーバを狙う、ゼロデイ攻撃もその1つです。このケースで被害を受けたコンピューターは、DDoS攻撃の目的で遠隔操作が可能となることもその発表に含まれていました。そのため、サイバー攻撃が確認された地域で、ゾンビマシン化目的でのゼロデイ攻撃を受けたコンピューターが被害に遭った可能性が高いといわれています。実際、日本国内でもゼロデイ攻撃を受けて、遠隔操作されたコンピューターが複数確認されています。

 

おすすめ!ゼロデイ攻撃でDDoS攻撃の標的となった場合の対策法3選

ゼロデイ攻撃で、Webセキュリティ対策が完了する前にDDoS攻撃が行われれば、取り得る防御手段の選択肢が少ないのが現状です。しかし、まったく対策法が存在しないということではありません。ここでは、ゼロデイ攻撃でDDoSの標的となった場合の3つの対策法を紹介しています。

  • クラウド型WAF
  • Cloudbric ADDoS
  • EDR

クラウド型WAF|導入しやすく低コスト

WAF(Web Application Firewall)とは、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守れないWebアプリケーションの脆弱性を攻撃から守ることができるセキュリティ対策です。このWAFには、クラウド型・ハードウェア組み込み型・サーバインストール型の3種類が存在しますが、ゼロデイ攻撃対策として導入するならクラウド型WAFをお勧めします。また、ゼロデイ攻撃対策は、発覚してからすぐに施策する必要があります。

ちなみに、クラウド型WAFは機器の購入・ネットワークの構築などが必要なく、すぐに導入可能でセキュリティ担当者の負担を減らせます。また、初期費用・運用コストが低く、スポット利用もできるため、脆弱性のWebセキュリティ対策が完了するまでのゼロデイ攻撃の対策におすすめです。

 

Cloudbric ADDoS|DDoS攻撃対策

DDoS攻撃によるゼロデイ攻撃から被害を最小限に抑えるためには、Webセキュリティ上素早い対応が求められます。そのため、DDoS攻撃が防御できるサービスも、同時に導入しておいた方がよいでしょう。そんなDDoS攻撃対策におすすめのサービスといえば「Cloudbric ADDoS」です。導入しておけば、最大65Tbpsの大規模DDoS攻撃まで迅速かつ安全に遮断してくれます。

「Cloudbric ADDoS」についての詳細は、こちらの記事を参考にしてください。

https://www.cloudbric.jp/blog/2021/06/rddos/

 

EDR|ゾンビマシン化をいち早く検知

DDoS攻撃に利用するゾンビマシンの標的となることを、防止できるWebセキュリティ対策も重要なポイントです。

EDRを導入しておけば、ゼロデイ攻撃によってゾンビマシン化している際に、いち早く検知可能であるため、気づかないうちにコンビューターがDDoS攻撃に利用されたり、攻撃の踏み台にされるのを防げます。EDR(Endpoint Detection and Response)とは、パソコンやサーバの状況および通信内容などを監視し、異常あるいは不審な挙動があれば管理者に通知してくれるソリューションです。ゼロデイ攻撃による直接的な被害は防げませんが、導入しておけば、取引先へのDDoS攻撃に利用されて間接的な被害を防止できるためおすすめです。

 

今回は、ゼロデイ攻撃で、DDoSの標的となった場合のWebセキュリティ対策について解説してきました。ゼロデイ攻撃は気づいたときには手遅れになっているケースも少なくありません。そのため、いち早く気づき、早急にWebセキュリティ対策することが重要です。

現代では、悪意のある第3者によるゼロ攻撃やDDoS攻撃は増加傾向にあるため、いつサイバー被害を受けるか予測できません。本記事を参考に、いち早くWebセキュリティ対策に取り組みましょう。