2025年3月20日 / 最終更新日時 : 2024年10月21日 hoken2022 サイバー保険

ゼロデイ攻撃が大幅に増えた原因とは?

国家の支援を受けたサイバー犯罪者や、金銭目的の犯罪者が活動を強めている今日、未知の脆弱性から生じる脅威を減らすため、あらゆる組織で対策が求められている。
この記事は、ESET社が提供するマルウェアやセキュリティに関する情報サイト「Welivesecurity」に掲載された記事を翻訳したものである。

サイバーセキュリティ分野では、ゼロデイ脆弱性は常に重要視されてきた。ゼロデイ脆弱性とは、ソフトウェアベンダーがバグに気づき、パッチを提供する前に悪用されるソフトウェアの欠陥を指す。このため、ゼロデイ脆弱性を悪用した攻撃は防御が極めて難しく、攻撃者にとって非常に魅力的なターゲットとなる。これらの攻撃はネットワーク管理者にとって、常に大きな課題であり、2つの調査結果によれば、ゼロデイ攻撃は過去最高レベルに達している。
最近、ゼロデイ攻撃が急増しているのは、検出や報告体制の進展が一因かもしれない。しかし、国家規模の工作活動や金銭目的のサイバー犯罪の増加を考慮すると、全ての組織において未知の脆弱性への対策が急務となっている。

ゼロデイ脆弱性が発見された記録的な年に

グーグルのプロジェクトゼロ・チームは、ゼロデイ脆弱性を発見し、それを適切にベンダーに報告することを目的に、8年以上前に設立された。同チームは数多くの成果を挙げており、業界で大きな注目を集めている。最新の年次報告書によると、昨年は58件のゼロデイ脆弱性が発見されており、2015年の28件の倍以上、2020年の25件を大きく上回っている。
しかし、これだけではゼロデイ攻撃の実態を全て把握しているわけではない。グーグルのセキュリティ研究者Maddie Stone氏によれば、ゼロデイ攻撃の正確な数を把握することはほぼ不可能であるという。その理由は、攻撃者が脆弱性を巧みに隠すためである。彼女は、検出や報告方法が改善されれば、実態により近い数字が見えるかもしれないと指摘している。また、ゼロデイ脆弱性を発見・報告する研究者やベンダーの数が増えていることは、好ましい傾向だと言えるだろう。

国家規模の工作の増加

Mandiant社の調査によると、2021年には80件のゼロデイ脆弱性が発見され、これは2019年の32件と比べて2倍以上の増加となっている。同社は、ゼロデイ脆弱性の増加要因のひとつに、検出技術の進展を挙げているが、それに加え次のような理由も指摘している。
クラウド、モバイル、IoT技術の発展に伴い、インターネットに接続されたシステムの増加と複雑化が進んでいること。
また、脆弱性の取引市場の拡大や、企業や攻撃者グループがゼロデイ脆弱性に多くのリソースを投じていることも影響しているとされる。
Mandiant社が検出したゼロデイ脆弱性の4分の3は、マイクロソフト、アップル、グーグルの製品に関わっており、中国の政府機関が関与しているケースもあった。特に大きな影響を与えたのは、2021年3月に発生したMicrosoft Exchange ServerのProxyLogon攻撃で、この攻撃は4つの脆弱性を悪用したものだった。複数の集団が連携している証拠となったこの事件は、いかに素早く攻撃者がゼロデイ脆弱性を利用しているかを示す代表例でもある。
さらに、ESET社は数千台のMicrosoft Exchange Serverに対するProxyLogon攻撃を行ったAPT集団を特定しており、ゼロデイ攻撃がランサムウェア犯罪者によって利用されていることも確認されている。

昔ながらの手法

グーグル社のStone氏は、ゼロデイ攻撃が急増しているにもかかわらず、攻撃手法自体は昔ながらのものが使われていることに驚きを示している。
「2021年に確認されたゼロデイ攻撃は、ほとんどが同様の不具合パターンやアタックサーフェスを利用しており、これまで報告された方法に基づいている。もしゼロデイ攻撃が困難になっているのであれば、攻撃者は新たな脆弱性を見つけ、新しい手法を試すはずだが、今年のデータではそのような兆候は見られなかった」と述べている。
実際、グーグル社が記録した58件のゼロデイ攻撃のうち、67%がメモリー破損に関連する脆弱性に起因している。これは、長年にわたり脅威とされてきた不具合で、多くの攻撃者が解放済みメモリーの使用やバッファオーバーフロー、整数オーバーフローといった、よく知られた問題を引き続き悪用していることがわかる。

基本に立ち返る

組織が直面している脅威は、ゼロデイ攻撃に限らない。統計によると、多くの攻撃は何年も前に発見された既知の脆弱性を悪用している。優れたサイバーセキュリティ環境を維持することは、リスク管理の観点から非常に重要であり、基本的な対策を再確認することが求められる。

  • リスク評価に基づく既知の脆弱性に対する継続的なパッチ適用
  • 全従業員へのサイバーセキュリティ教育の実施
  • パートナー企業のサイバーセキュリティ対策監査によるサプライチェーンの強化
  • 社内で開発したソフトウェアに使用されるオープンソースソフトウェアの脆弱性やマルウェアの検証
  • 継続的なシステム構成管理による無防備状態のリスク低減

効果的なサイバーセキュリティ対策とは、既知および未知の脆弱性から組織を守ることである。ポリシーの更新やサイバーリスク軽減を重視し、複数層で防御を構築することが鍵となる。

カテゴリー
サイバー保険
サイバー保険

前の記事

標的型攻撃とは何か?その攻撃手法とは?
2025年3月15日
サイバー保険

次の記事

DDoS攻撃に巻き込まれる可能性!?アクセスによる被害とその誘導手法
2025年3月25日