実際にあったゼロデイ攻撃の被害事例まとめ

ゼロデイ攻撃は新しく発見された脆弱性の問題を解決するための修正するプログラムが提供される前に悪意があるサイバー攻撃をすることです。公開日をワンデイ（1Day）としたとき、それ以前のゼロデイ（0Day）を狙うことからゼロデイ攻撃という名前がつきました。この攻撃が厄介なところは、対策方法が無い無防備な状態のタイミングで攻撃されることです。

危険に晒されている状態で攻撃を受けるので、様々な被害が拡大してしまう可能性が十分に考えられます。今後もこの攻撃の対策をするためにセキュリティを強化していくことが求められます。ここでは今まで報告されている有名な実例を紹介します。いかにこの攻撃が危険なことかを理解して未然に防ぐ処置を怠らないようにしてください。

ゼロデイ攻撃で有名な事例が2014年に発生した2014年シェルショック脆弱性です。2014年の9月にLinuxなどののシェルとして使われていることが多いBashの脆弱性が公表されました。この脆弱性が厄介なところは遠隔でもコマンドの実行を許してしまうことです。つまりどこからも攻撃を受けてしまう可能性があるとても恐ろしい脆弱性でした。もし悪用された場合は被害が拡大してしまう恐れがあったのも2014年シェルショック脆弱性の特徴です。

サーバーの管理運営などに使われることが多かったBashは、基幹部分でも使用されていたということもあって、万が一のことを考えると影響が巨大になるので、多くの技術者を困惑させる事態になります。特にサーバーを停止することが難しい企業や、代替のサーバーを準備できない企業が対応を追われてしまいます。

パッチが出るまでの対応策が極めて限られているということもあって、技術者であっても対応策がほとんど無い状態だったので、セキュリティーソフトのシグネチャ更新が来るまでどうすることもできませんでした。大きな被害になる可能性があったことから、2014年シェルショック脆弱性の攻撃を警察庁も監視をするほどでした。監視を続けた警視庁は、その後報告書を公開しています。この報告書は脆弱性発覚の翌日には第一報が提供されていることを見ても、これほど対応が早かったということは、それほど脅威があったということです。

実際にシェルショック脆弱性が原因で攻撃がありました。2014年の9月25日にボットネットを使って攻撃をしました。ボットネットとはサイバー犯罪者が使うネットワークのことで、有名なトロイの木馬などの悪意のあるプログラムを使って、世界中のパソコンなどにウイルスを送るゾンビコンピュータで構成されています。情報を抜き取る目的でアメリカ国防総省のデータをスキャンするといった行為も確認されています。アメリカだけでなく日本もゼロデイ攻撃の脅威に晒されないように、2015年に日本の警視庁もシェルショック脆弱性の調査をしました。その結果攻撃や攻略をすることでアクセスが急増したことを観測しています。警視庁が報告した内容では実際にアクセスが観測された状況と、 被害に遭ったウェブサーバの動作の内容、ゼロデイ攻撃からサーバを守るための推奨する対策などを報告しています。

2015年の1月にAdobe Flash Playerのゼロデイ攻撃の被害がありました。脆弱性を修正したバージョンをリリースしましたが、その後も2件の脆弱性が発見されました。この段階でも解決していない脆弱性が残っていて問題になったのでIPAからも注意勧告を受けてしまいます。IPAとは経済産業省が所管となる独立行政法人で、日本のITの国家戦略の中枢となる組織です。

Adobe Flash Playerのゼロデイ攻撃はリモートで実行されるので、外部から容易に攻撃されます。1度コードを実行されるとシステムが制御されてどうすることもできない状態になってしまいます。AdobeではWindowsを対象とした標的型攻撃を受けて悪用されたという報告を出しています。その内容はオフィスのドキュメントに一般人には分らないように悪意のあるFlashコンテンツが埋め込まれてしまうというケースです。

Adobe Flash Playerのゼロデイ攻撃の厄介なところは、エクスプロイトコードが組み込まれていることです。エクスプロイトコードとはプログラムのセキュリティ上の脆弱性を攻撃するプログラムです。悪意を持っているプログラムなので良いことは1つもありません。リモートで実行されるだけでなく、知らないうちにURLやファイルをクリックしてしまい、そこから感染する手口もあります。

最終的には2月6日に修正が完了しましたが、その間に新しい脆弱性の発見が相次いだので、研究者からは被害の拡大を防ぐために「無効にした方がいいかもしれない」という勧告をしたことが報告されています。

2019年の3月にGoogle Chromeがゼロデイ攻撃を受けました。これはGoogle Chromeのセキュリティの脆弱性を突く攻撃で、新しいパッチを公開したときに攻撃を受けてました。なぜ攻撃を受けてしまったかというと、Google Chromeの「FileReader」に存在するメモリ管理のエラーが原因でした。このエラーはアプリがメモリにアクセスしようとしたときに発生するエラーです。

実際にはありえないエラーですが、メモリアクセス操作を誤ってしまうと、悪意を持っているハッカーなどが不正なコードに書き換えてしまいます。実際にGoogle Chromeの脆弱性を突くゼロデイ攻撃があったことを公式に認めています。開発者は大丈夫だと思っても攻撃されてしまう可能性があることを十分に理解しなければいけません。そうすることで、ユーザーへ迷惑をかけることを防ぐことができます。

昔だけでなく新しい時代でもゼロデイ攻撃の脅威に晒される事例があります。アメリカのMicrosoftがInternet Explorerがゼロデイ攻撃を受けたことを2020年の1月に発表しています。実際に攻撃をされてから悪用されたことを公式に認めていますが、攻撃対象は限定的という発言に留まり、被害の拡大は無かったと主張しています。今回の被害は大規模なハッキングキャンペーンの一環と見られています。

ハッカーが様々な脆弱性を突いてきます。大手企業のMicrosoftが提供しているInternet Explorerでもこのような被害に遭ってしまうからこそ、ハッカーの巧妙な手口に対して、企業だけでなくパソコンユーザーも気をつけなければいけません。

ゼロデイ攻撃は修正策が存在しない欠陥を突いてくる厄介な攻撃です。そのため検知をするのは困難な場合が多いです。そのため大手企業のセキュリティ対策でも検知できずに攻撃を受けてしまいます。この攻撃ができるハッカーは能力に長けていて技術力も優れています。

長時間検知されないとずっとシステムに潜伏してしまい、そうなると被害が拡大してしまいます。今後はさらにサイバー攻撃が巧妙化してくると予想されています。巧みにセキュリティを潜り抜けて仕掛けてくるゼロデイ攻撃の脅威にさらされていることを、常に忘れないようにしましょう。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。