ゼロデイ攻撃とは
そもそもゼロデイとは
修正パッチが公開された日を1日目とすると、修正プログラムがまだ適用されていない状態をゼロデイ(0日目)と言います。
おわかりの通りゼロデイ攻撃とは修正プログラムが提供されていない脆弱性を悪用した攻撃です。
具体的に
発見された未修正の脆弱性に対する攻撃で、特に情報公開や更新プログラムが公開された当日にゼロデイ攻撃が増加する傾向があります。
一般に認知されるまでは、狙ったターゲットに的を絞って攻撃し、認知された時点で一気に攻撃の手を拡大するなどの手法があります。これらの攻撃を防ぐためには、公開された更新プログラムをできるだけ速く適用することしかないので最も大きな脅威であるとの指摘もあるそうです。
実例
2021年7月:カセヤ社製Kaseya VSAへのゼロデイ攻撃
2021年3月:「Microsoft Exchange」のゼロデイ脆弱性
2020年1月:三菱電機、約8000人の個人情報流出
2021年には前年比2倍の80件のゼロデイ攻撃が発生するなど年々増加傾向にあります。
→ ゼロデイ攻撃の報告率の上昇に寄与する要因の一つとして、ハッキングツールが世界的に急速に普及
ゼロデイ・エクスプロイトの売買、悪用の増加によって探す人も増加傾向にあり発見数が増えているという見方もできる
エクスプロイトについては下記リンク参照
エクスプロイトについて調べてみた
対策
1,シグネチャで対策する方法
過去の知識を必要とする防御手法の最たる例がシグネチャを用いたパターンマッチングで、アンチウイルスソフトの基本的な防御手法
2,サンドボックスで対策する方法
エンドユーザが利用する実環境から分離された環境。この環境で疑わしいプログラムを動作させることで、実環境に被害を及ぼすことなくマルウェアの解析を行う。
3,EDRを導入する
前述の理由からゼロデイ攻撃を防ぐのは困難です。そういった状況から攻撃の発生を防ぐアプローチではなく、攻撃が発生した後でもその影響範囲を特定し、回復に役立てるEDR(Endpoint Detection and Response)という手法。
まとめ
残念ながらゼロデイ攻撃を防ぐことのできるセキュリティソフトは多くないようです。
万が一ゼロデイ攻撃を受けた際の被害を最小限にとどめることに努めましょう。