セキュリティに関する情報収集や具体的な対策を行う際、非常に厄介だと感じるのが「ゼロデイ攻撃」です。
社内や組織内に高度なセキュリティ人材やセキュリティに関する技術的リソースが確保されており、同時にIT資産管理や情報資産管理の仕組みを導入していれば、ゼロデイ攻撃に何らかの対応をできる可能性もあります。しかし、それらが何もない場合、セキュリティ的に無防備なまま、サイバー攻撃によるリスクや被害に怯えながら、提供元のセキュリティパッチやアップデートを待つしか手段はありません。
今回はゼロデイ攻撃に関する基礎知識やリスクおよび脅威、そしてゼロデイ攻撃への対策方法についてお話します。

ゼロデイ攻撃に関する基礎知識

はじめにゼロデイ攻撃に関する基礎知識について簡単に説明します。

ゼロデイ攻撃とは何か

ゼロデイ攻撃（zero day attack）のゼロデイとは、OS・ソフトウェア・ハードウェアなどIT資産や情報資産において、何らかの脆弱性およびセキュリティホールが発見されたものの、具体的な対策がなされていない期間を指します。そして具体的な対策がなされていないゼロデイの間に、発見された脆弱性やセキュリティホールを悪用して攻撃するのがゼロデイ攻撃です。
OS・ソフトウェア・ハードウェアの開発元や提供元からセキュリティパッチやバグやエラーの修正を含む更新が提供される日時が発表された段階においても、前日や当日にさらにゼロデイ攻撃が増大するとも言われており、悪意のある第三者が防御不能な状態の企業や組織、または個人を狙い撃ちにできる最悪のチャンスと言えます。

ゼロデイ攻撃に利用される脆弱性やセキュリティホールに関する情報の共有

OSやソフトウェアおよびハードウェアの脆弱性やセキュリティホールは悪意のある第三者だけでなく、善意のホワイトハッカーによって発見されることがあります。その場合、脆弱性やセキュリティーホールを解消するために情報が共有されます。いわゆる脆弱性情報データベースというプラットフォームが存在していることで、脆弱性やセキュリティホールが公開・共有されており、公開・共有されているということは、悪意のある第三者も閲覧・情報収集できてしまう状態でもあります。
各種ベンダー、開発元や提供元がセキュリティパッチや修正プログラムを提供する前であればゼロデイ攻撃が可能な状態でもあり、脆弱性やセキュリティホールのリスクを共有し、すぐに解消するための仕組みが悪用される可能性もあるという状況です。

ゼロデイ攻撃は絶対に防げないのか？

ゼロデイ攻撃は絶対に防げないかと言えば「絶対に防げないということはない」と断言できます。なぜなら、セキュリティパッチや修正プログラムを含む更新がダウンロードできる日時までマシンをシャットダウンしてコンセントを抜き、有線LANを外して、物理的にもネットワークから分離しておけばサイバー攻撃を受けることはないからです。
しかし、個人であれば代替機や他のOSに切り替えることは簡単でも、企業や組織では同じようにマシンを完全に遮断することは難しいという問題があります。特に独自の基幹システムや社内システムなど業務の根幹となるシステムを利用するマシンの場合、一斉に停止することもできなければ、何の対策もないまま稼働するのも危険というジレンマに悩まされます。

ゼロデイ攻撃によるリスクおよび脅威

次にゼロデイ攻撃によるリスクおよび脅威について解説します。

技術的リソースがない場合に一定の期間においてセキュリティ的に無防備

ゼロデイ攻撃が可能な条件を満たしている場合、技術的リソースやセキュリティに関する知見がなければ、一定の期間においてセキュリティ的に無防備な状態になります。脆弱性やセキュリティホールを悪用する方法やツールもセットで流通しやすいことから、悪意のある第三者や愉快犯、模倣犯など軽い気持ちでゼロデイ攻撃が可能な状態でもあり、非常に危険です。
サイバー攻撃は特に技術がなくてもツールやスクリプトを利用すれば簡単にできますし、特に悪意や目的がなくてもオンラインでつながってさえいれば攻撃できるという厄介な存在でもあります。もちろん、サイバー攻撃を行う人が加害者であることは間違いありませんが、何らかの被害を受けた場合、被害者であるにも関わらず、企業や組織として責任を取らねばならないことを考えると非常に複雑です。

ゼロデイ攻撃と他のサイバー攻撃を組み合わせられるとさらに大変

ゼロデイ攻撃と他のサイバー攻撃を組み合わせられるとさらに大変な状況に陥ります。例えば、ゼロデイ攻撃とともに標的型攻撃を行われて個人情報や機密情報を盗まれたり、ランサムウェアを仕込まれたりしてしまえば被害が拡大してしまいます。
その他にもデバイスの乗っ取り、IDやパスワードの乗っ取り、またはシステム全体の管理者権限を乗っ取りをされてしまうことになれば、原因の特定もしにくくなり、安心・安全な状態に復旧するまでの時間も多く要する結果になるでしょう。

オンラインサービスなどの場合、直接的に利益や売上に影響する可能性も

BtoBやBtoBのオンラインサービス、もしくは社内や組織内をオンラインでつないでいるような状態の場合、直接的に利益や売上に影響する可能性も高いです。また、何らかの形でサイバー攻撃を受けたこと、ゼロデイ攻撃の被害にあったことが、セキュリティインシデントとして公開・発表することになれば、企業や組織としての信頼や安心感が崩れ去ってしまいます。
オンラインサービスも含めて、企業や組織の提供するシステムを利用する顧客やユーザーは信頼して個人情報を預けており、安心してサービスを受けられることに対価を支払います。ゼロデイ攻撃の被害者とはいえ、安心・安全なサービスの提供という根幹が揺らいでしまうのは、企業や組織としての存続に関わるということです。

ゼロデイ攻撃への対策方法

次にゼロデイ攻撃への対策方法をご紹介します。

技術的リソースがあるなら自社でセキュリティ対策を行う

IT関連の技術者やセキュリティ人材の雇用や育成が進んでおり、技術的リソースがあるならば、自社でセキュリティ対策を行いましょう。直接的にセキュリティパッチや修正プログラムを作成するというのは現実的ではないにせよ、間接的にセキュリティ性を高めることは可能なはずです。
また、視点を変えて業務に支障が出ない範囲でゼロデイ攻撃の対象となるマシンやデバイスを切り離すという方法もあります。例えば、Wi-Fi機器に脆弱性があるような場合において、単純に切り離して、別の機器に切り替えるという手段が考えられます。ソフトウェアの場合も同様であり、基幹システムや社内システムなど独自のシステムでないのであれば、代替となるソフトウェアに切り替えることで、ゼロデイ攻撃そのものを回避できる可能性が高まります。

セキュリティ系ソフトの導入やベンダーによるアドバイスを受ける

企業や組織においてセキュリティ人材やIT関連の技術者がいるとしても、ゼロデイ攻撃に関して言えば防ぎきれないこともあるでしょう。ゼロデイ攻撃の対象となる状態であり、セキュリティに不安を感じているのであれば、IT資産管理や情報資産管理の可能な統合的なセキュリティ系ソフト・ツールの導入を検討すべきと言えます。
統合的にセキュリティを管理できる体制を整えることで、単一的なサイバー攻撃への対処だけでなく、ゼロデイ攻撃も含めて複合的なサイバー攻撃へのセキュリティが強化されます。また、セキュリティ系ソフトを提供するベンダーにアドバイスを受けることで、ゼロデイ攻撃への対処法が見つかる可能性もあります。自社で対応できない、不安を感じたタイミングこそセキュリティの専門家を頼ることを忘れないようにしましょう。

OSやソフトウェアの提供元によるパッチやアップデートを待つ

自社の情報システム部やセキュリティ担当による対応、統合的なセキュリティ系ソフトを導入、そしてセキュリティベンダーの助力によってセキュリティ性を高めたあとは、OSやソフトウェアの提供元によるパッチやアップデートを待つしかありません。基本的にはよほど古い機器や販売台数が少ないような機器、もしくはあまり普及していないソフトウェアでない限りは何らかの対応が取られるはずです。
注意点としては、セキュリティパッチや修正プログラムのアップデートでホッとしないことです。前述したようにパッチや修正プログラムが提供されるタイミングを狙ってゼロデイ攻撃およびサイバー攻撃が行われることを忘れず、可能であれば物理的にネットワークを分離した上でパッチや修正プログラムの適用・更新・アップデートを行いましょう。

まとめ：ゼロデイ攻撃に限らず、セキュリティ全般を高めておくことが大事！