Overview
ゼロデイ攻撃(Zero-Day Attack)とは、ソフトウェアやハードウェアに存在する未知の脆弱性(ゼロデイ脆弱性)を悪用する攻撃手法です。「ゼロデイ」とは、ベンダーが脆弱性を認知してから修正パッチを公開するまでの猶予が「0日」であることを意味し、防御側にとって最も対処が困難な攻撃の一つとされています。
ゼロデイ脆弱性は、ソフトウェアの開発者やセキュリティコミュニティがまだ認識していない脆弱性であり、パッチや修正プログラムが存在しない状態で攻撃に利用されます。この脆弱性情報はゼロデイブローカーと呼ばれる仲介業者を通じて、闇市場で高額で取引されることもあり、国家機関やAPTグループが購入するケースも報告されています。
ゼロデイ攻撃は国家支援型のサイバー攻撃や高度なサイバー犯罪において特に多用されており、標的となる組織は脆弱性の存在すら知らない状態で攻撃を受けることになります。近年ではゼロデイ脆弱性の発見・悪用の速度が加速しており、Googleの脅威分析グループ(TAG)によると、年間数十件のゼロデイ攻撃がインターネット上で実際に悪用されています。
Details
ゼロデイ脆弱性のライフサイクル
ゼロデイ脆弱性には典型的なライフサイクルがあります。まず脆弱性の発生(ソフトウェア開発時にバグが混入)、次に脆弱性の発見(研究者または攻撃者が発見)、エクスプロイトの開発(脆弱性を悪用するコードの作成)、攻撃の実行(In-the-Wild exploitation)、脆弱性の公開(ベンダーや研究者による公表)、パッチの開発・公開、そしてパッチの適用という流れをたどります。
攻撃者にとっての「ウィンドウ・オブ・エクスプロイタビリティ」は、脆弱性の発見からパッチ適用までの期間であり、この期間が長いほど攻撃のリスクが高まります。実際にはパッチ公開後も多くの組織がすぐには適用しないため、Nデイ攻撃(公開済み脆弱性の悪用)も大きな脅威となっています。
ゼロデイ市場
- Zerodium:ゼロデイエクスプロイトの買取を公然と行う企業。iOSのリモートコード実行(RCE)エクスプロイトに最大200万ドル、Androidに最大250万ドルの報奨金を提示している
- NSO Group:Pegasusスパイウェアで知られるイスラエルの企業。iOSやAndroidのゼロデイ脆弱性を利用して、ターゲットのスマートフォンを遠隔から完全に制御する監視ツールを政府機関に販売
- ホワイトマーケット:Google Project Zero、Microsoft MSRC、バグバウンティプログラム(HackerOne、Bugcrowd等)を通じた正規の脆弱性報告。ベンダーが報奨金を支払い、脆弱性を修正するための市場
- ブラックマーケット:ダークウェブ上で取引されるゼロデイエクスプロイト。犯罪者やAPTグループが購入し、攻撃に利用する
CVEとCVSS
CVE(Common Vulnerabilities and Exposures)は、公開された脆弱性に一意の識別番号を付与するシステムです(例:CVE-2021-44228)。MITREが管理し、脆弱性情報の共有と追跡を標準化しています。
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を0.0~10.0のスコアで評価するフレームワークです。攻撃の容易さ、影響範囲、必要な権限などの要素から算出されます。スコアが9.0以上は「Critical」に分類され、緊急の対応が求められます。
脆弱性開示プロセス(Coordinated Disclosure)
協調的脆弱性開示(Coordinated Vulnerability Disclosure)は、脆弱性を発見した研究者がベンダーに非公開で報告し、パッチの開発・公開を待ってから脆弱性情報を一般に公表するプロセスです。Google Project Zeroは通常90日間の開示期限を設定しており、期限を過ぎるとベンダーの対応状況に関わらず情報を公開します。
仮想パッチ
仮想パッチ(Virtual Patching)は、ソフトウェア本体にパッチを適用できない状況で、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)のルールを用いて脆弱性への攻撃をネットワークレベルでブロックする手法です。正式パッチが公開されるまでの緊急的な緩和策として広く活用されています。
Security Measures
- 01多層防御(Defense in Depth)の実装:ゼロデイ攻撃はパッチによる防御ができないため、ネットワークセグメンテーション、アクセス制御、暗号化、監視など複数の防御層を組み合わせて、単一の脆弱性が悪用されても被害を最小限に抑える設計が重要です。
- 02仮想パッチの即時適用:ゼロデイ脆弱性が公表された場合、正式パッチが提供されるまでの間、WAFやIPSの仮想パッチルールを速やかに適用してください。主要なセキュリティベンダーはゼロデイ脆弱性に対する仮想パッチを迅速に提供しています。
- 03EDRによる振る舞い検知:シグネチャベースの検知はゼロデイ攻撃に対応できないため、EDR(Endpoint Detection and Response)による振る舞い検知とリアルタイム監視を導入してください。異常なプロセス実行やメモリ操作を検知できる体制が必要です。
- 04脆弱性管理プログラムの運用:既知の脆弱性に対するパッチ適用を迅速かつ確実に行う脆弱性管理プログラムを整備してください。CVSSスコアに基づく優先度付けを行い、Critical(9.0以上)の脆弱性は72時間以内のパッチ適用を目標としましょう。
- 05攻撃面(Attack Surface)の最小化:不要なサービスやポートを無効化し、ソフトウェアを最小構成で運用してください。特にインターネットに面したサービスは必要最小限に抑え、不要なプラグインやモジュールは削除しましょう。
- 06脅威インテリジェンスの活用:ゼロデイ脆弱性の早期警戒のため、セキュリティベンダーやCERT、ISACからの脅威インテリジェンスフィードを購読し、自組織に関連する脅威情報を継続的に収集・分析してください。IOC(Indicators of Compromise)を用いた検知体制も整備しましょう。
Incidents
📋 Log4Shell(CVE-2021-44228)(2021年)
2021年12月に公開されたApache Log4j 2のリモートコード実行脆弱性は、CVSSスコア10.0(最大値)と評価され、「過去10年で最も深刻な脆弱性」と呼ばれました。Log4jはJavaベースのロギングライブラリとして世界中のサーバーやアプリケーションで広く使用されており、影響範囲は数億台のデバイスに及びました。
攻撃者は特殊な文字列をログに記録させるだけで任意のコードを実行でき、公開後48時間以内に世界中で大規模な攻撃が開始されました。国家支援型のAPTグループやランサムウェアグループもこの脆弱性を迅速に悪用し、多くの政府機関や大企業が被害を受けました。この事件はソフトウェアサプライチェーンとオープンソースの依存関係管理の重要性を世界に再認識させました。
📋 Microsoft Exchange ProxyLogon(2021年)
2021年3月、Microsoft Exchangeサーバーに存在する4つのゼロデイ脆弱性が、中国系APTグループ「Hafnium」によって悪用されていたことが判明しました。ProxyLogon(CVE-2021-26855)を含むこれらの脆弱性を連鎖的に悪用することで、攻撃者は認証をバイパスしてExchangeサーバーに完全なアクセスを獲得できました。
Microsoftが緊急パッチを公開した時点で、世界中の少なくとも30,000の組織がすでに侵害を受けていたとされています。攻撃者はWebシェルを設置して永続的なアクセスを確保し、メールデータの窃取やネットワーク内の水平移動を行いました。パッチ公開後も脆弱なサーバーへの攻撃は続き、ランサムウェアの展開にも利用されました。
📋 Stuxnet(2010年)
2010年に発見されたStuxnetは、サイバー兵器の歴史における転換点となったマルウェアです。少なくとも4つのWindowsゼロデイ脆弱性を同時に悪用し、USBメモリを介して拡散しました。最終的な標的はイランの核濃縮施設で使用されていたシーメンス製SCADA制御システムでした。
Stuxnetは遠心分離機の回転速度を操作して物理的な損傷を引き起こす一方、監視システムには正常な値を表示させるという極めて高度な機能を持っていました。4つのゼロデイを同時に使用するという前例のない手法は、国家レベルの資源と専門知識が投入されたことを示しています。この事件はサイバー攻撃が物理インフラに直接的な被害をもたらしうることを証明し、重要インフラのサイバーセキュリティに対する世界的な関心を高めました。