ランサムウェア ゼロデイ攻撃に効果的なゼロトラストとは ?(vol.2)

2022年127日、情報処理推進機構(IPA)が「情報セキュリティ10大脅威2022」を発表しました。

「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

今回初めて「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が7位に入りました。そこで「ゼロデイ攻撃」とは何か? どのような対策をすればいいのか? を過去の被害事例を交えながら解説していきます。

ゼロデイ攻撃とは?

ゼロデイ攻撃とは、OSやソフトウェアの脆弱性に対する修正プログラムが提供される前に、その脆弱性を利用して行われる攻撃のことです。ゼロデイとは、修正プログラムの提供日を「1日目」として考え、それ以前の「0日目」に攻撃をするためこのように呼ばれています。またセキュリティホール(コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥)の存在やその修正パッチが公に知られていない中で発生するため、攻撃を防ぐことが困難です。

またプログラムにもバグが存在しており、これによりプログラムが意図しない動作を行い、正しい結果が得られなくなることがあります。このようなバグも脆弱性と呼ばれ、これを利用することにより、意図的に悪意のあるプログラムを実行されます。

そして修正パッチを作成、適応するまで「ゼロデイ攻撃」の脅威にさらされます。また攻撃者がバグを先に発見された時は、知らない間に攻撃されている可能性もあります。

ゼロデイ攻撃のランサムウェア被害例

次にゼロデイ攻撃の被害例を3つ紹介していきます。

■シェルショック脆弱性(2014年)

ゼロデイ攻撃で最も有名な事例のひとつが2014年に発生した2014年シェルショック脆弱性です。Linuxなどののシェルとして使われていることが多い「Bash」の脆弱性が公表されました。この脆弱性は遠隔でもコマンドの実行を許してしまうため、情報端末の乗っ取りや、サーバへの侵入、情報窃取、Webサイトの改ざん等の各種の攻撃を受けてしまう可能性がある脆弱性でした。「Bash」は、サーバーの運営管理に使用されていることから影響が大きく、企業や技術者が対応に追われる事態となり、多くの技術は「シェルショック脆弱性」によってゼロデイ攻撃の脅威を印象付けられることになりました。

■三菱電機への不正アクセス(2020年)

2020年に発生した、三菱電機株式会社へのサイバー攻撃による不正アクセス事件で国の防衛に関する情報が流出した可能性がある被害です。

また、公表した内容として外部から未公開脆弱性を突いたゼロデイ攻撃を受け、パターンファイルアップデート機能を悪用される形で端末に侵入され被害拡大となりました。

■カセヤ社製Kaseya VSAへのゼロデイ攻撃(2021年)

2021年カセヤの法人向けソフトウェアが標的となり、利用企業がランサムウェア被害を受けたということがありました。そしてこの攻撃で1500社近い企業に影響がでたと言われています。それは企業がソフトの更新を管理する際に使う「Kaseya VSA」と呼ぶソフトウェアが狙われ、顧客のうち約60社が被害を受けました。直接的な被害だけを見れば大規模なものではなかったのですが、被害を受けた企業の多くが、他社のシステム運用や保守を手掛けるMSP(マネジメントサービス・プロバイダー)ため間接的に被害が広まりました。恐いことは、被害を受けた企業だけではなくその取引先やサービスを利用している企業まで影響が及んだことです。

ゼロトラストでのゼロデイ攻撃対策

今後ゼロデイ攻撃対して、どのような対策、対応をすればいいでしょうか?

ゼロデイ攻撃は、ソフトウェアやOSの脆弱性を狙って攻撃を行うため、OSやプログラムを最新の状態にすることが基本になります。特にOSの脆弱性は、ばらまき型の攻撃に使用されることが多く、社内だけではなく取引先含めて大きな被害を与えることになります。そのためOSやプログラムを常に最新の状態にアップデートしておくこと以外にも新しいパッチがでないサポート切れの製品を使用しないことがとても重要です。

しかしソフトウェアやOSを最新にしてもメーカが対策前に脆弱性を狙ったゼロデイ攻撃については防ぐのは難しいと考えられています。そこで最近注目されているのは「ゼロトラスト」の考えを取り入れたセキュリティ対策です。ゼロトラストとは、「すべてを信頼しない」という考えをベースに対策を実施することです。それは外部だけだはなく、内部からのアクセスでも、信頼せず制御することになります。

ゼロトラスト型のAppGuard

ゼロトラストの考えを採用している「AppGuard」は、端末、サーバー上で動作するあらゆるものを信用しないことからから始まります。その上で必要となるものだけを安全かつ必要最低限の動作に制限した状態でのみ動作させます。通常では起動が許可されるアプリケーションを信頼されることになりますが、AppGuardは起動した後も信用せずに制御・監視を継続します。つまり、「やって良いこと・悪いこと」を明確に規定した上で「やって良いこと」のみを許可していく考え方です。実行主体が何であったとしてもシステムを害する行為を一切認めなくするため、守るべき対象を侵害することが理論上不可能となります。

まとめ

以上のように、ゼロデイ攻撃とはメーカやベンダーがまだ認識していない脆弱性を突く攻撃のため全ての攻撃を未然に防ぐのはとても困難です。そこで今後は、最も有効と考えられるゼロトラストを取り入れたセキュリティ対策が必要となってくるでしょう。

弊社ではゼロトラストの考えを取り入れたAppGuardの紹介資料「ランサムウェア対策ソリューション AppGuard基本ガイドバック」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。