ゼロデイ攻撃の特徴とVPN機器が狙われる理由

近年、ゼロデイ攻撃が増えており、攻撃対象としてVPN機器が狙われています。この記事では、ゼロデイ攻撃とは何か、なぜ増えているのか、なぜVPN機器が狙われるのかと、その対策について、わかりやすく解説しています。

ゼロデイ攻撃の特徴

ゼロデイ攻撃の概要と、手口、近年増えている理由について解説します。

ゼロデイ攻撃とは

「ゼロデイ攻撃」とは、コンピューターシステムに対する攻撃の一種で、脆弱性が発見されてから、それが修正されるまでの間に攻撃する手法を指します。

「ゼロデイ攻撃」は、英語で「Zero-day Attack」と言い、「0日攻撃」という意味です。

ゼロデイ攻撃の手口

ゼロデイ攻撃の、代表的な手順を解説します。

未知の脆弱性の発見

ゼロデイ攻撃の一番重要な点は、まだ世間には知られていないシステムの脆弱性を発見することです。

そのために、以下のような手法が取られます。

ソースコードの分析

オープンソースのコードや、リークされたコードを詳細にレビューします。

逆アセンブリ

バイナリコードは、「IDA Pro」や「Ghidra」などのツールを使って、リバースエンジニアリングします。

ファジング

「ファジング（Fuzzing）」とは、自動生成された大量のランダムデータを送り、異常動作やクラッシュを引き起こすテスト手法です。

ファジングによって引き起こされる結果を分析することで、脆弱性を発見します。

エクスプロイトの開発

「エクスプロイト（exploit）」とは、システムの脆弱性を悪用することを目的に作られたプログラム、または一連の手順のことを指します。

エクスプロイトの目的は、サービスを過負荷状態にしたり（DoS攻撃）、管理者権限を取得したりすることで、その次の段階として具体的な攻撃（ペイロード）が実行されます。

検証

テスト環境を構築し、発見した脆弱性が利用可能であることを確認します。

コード作成

エクスプロイトを設計し、実装します。

多くの場合、ペイロードも一緒に組み込まれます。

テストとバイパス

テストをし、動作を確認します。

また、セキュリティ対策を回避するための仕組みを組み込みます。

攻撃

エクスプロイトの配布

フィッシングサイトやフィッシングメールなどを使い、ターゲットにエクスプロイトを配布します。

または、ネットワーク機器の認証を突破するなどして、内部に侵入します。

エクスプロイトの実行

ターゲット内部のネットワークでエクスプロイトを実行するか、またはターゲットを誘導してエクスプロイトを実行させます。

脆弱性が利用され、不正なプログラムが実行されます。

隠蔽とバックドア

ログを削除するなどして、痕跡を隠蔽します。

また継続的にアクセスできるように、バックドアを設置します。

ゼロデイ攻撃が増えている理由

ゼロデイ攻撃が増えている理由は、攻撃可能な範囲が広がっていることと、ツールや市場が整備されてきていることが大きいです。

システムの複雑化

現在のシステムは、高度に複雑化しており、脆弱性が発生しやすくなっています。

またIoTデバイスなど、多種多様な機器がネットワークに接続されるようになったため、攻撃対象が増えています。

ツールの整備

ツールやフレームワークが普及したことで、誰でも一定以上の水準で、簡単にエクスプロイトを開発できるようになっています。

AIによる開発

AIにより、脆弱性の発見やコードの実装が自動化され、開発スピードがあがっています。

市場の形成

ツールや情報を売買する闇市場が形成されたため、ビジネスとしてのゼロデイ攻撃が広まっています。

開発、攻撃、資金回収の役割分担も進んでいます。

痕跡をたどりにくい暗号通過が普及したという背景もあります。

VPN機器に対してのゼロデイ攻撃の特徴と対策

VPN機器に対してのゼロデイ攻撃が増えている理由と、その対策をご紹介します。

VPN機器が狙われる理由

近年、VPN機器に対してのサイバー攻撃が増えています。その理由をご説明します。

設置数が増えた

コロナ禍によりリモートワークを導入する企業が増え、それに伴いVPN機器の設置数も爆発的に増えました。

攻撃者からすれば、狙いやすい的が増えたと言えます。

人を相手にするより簡単

人を相手にしたマルウェアの場合、ターゲットを選定し、フィッシングメールなどで慎重に誘導していく必要があり、時間も手間もかかります。

システムを相手にすれば、攻撃をほとんど自動化することができ、圧倒的に効率が良いです。

高い権限

人を相手にした場合は、攻撃に成功しても、そのターゲットの権限の範囲しか制圧できない可能性があります。

VPN機器を乗っ取ることができれば、その組織のシステム全体を制圧できる可能性があります。

脆弱性が多い

VPN機器は、デフォルト設定のまま設置されていたり、セキュリティパッチが適用されていなかったりと、脆弱性が多い傾向にあります。

担当者の知識や経験が不足していたり、誤設定しやすかったりする問題もあります。

攻撃者も見つかりにくい

VPNは通信を暗号化するので、攻撃者の通信も秘匿され、監視ツールによる検出が難しくなります。

これにより、攻撃者は長期間にわたり潜伏することが可能となります。

成果が大きい

VPN機器は、企業の機密データに直結されていることが多いため、攻撃に成功した時の成果も大きくなります。

税制度の問題

VPN機器の減価償却が10年だけど、ベンダー保守は3年で切れ、4年目からは保守がない状態で使い続けるという、税制上の問題が指摘されています。

パッチを当てたがらない

システムに脆弱性が発見され、セキュリティパッチが配布されても、「今まで使えていたから大丈夫」「新しい方が問題を起こす可能性があり怖い」「システムを止めたくない」等の理由で、パッチの適用が見送られる風潮があるようです。

しかし流石にこれだけランサムウェア被害のニュースが続けば、認識も変わってくるのではないかと思います。

日本のセキュリティ教育が遅れている

近年のサイバー犯罪は、VPN機器・IoT機器への攻撃や、内部犯行が増えています。

それに対し日本では、個人のパソコンをどう守るかなど、2世代ほど前のセキュリティ教育が未だに行なわれています。

これは、セキュリティ認証会社やセキュリティ製品会社を含めた業界全体の問題であり、早急な意識改革が必要となっています。

ゼロデイ攻撃の対策

ゼロデイ攻撃への対策方法をご紹介します。

基本的には、攻撃されることを前提としたシステム構築へと、意識変換が必要となっています。

ログの監視

システムのログをリアルタイムに監視し、以上を検知した時にアラートを出したり、自動で切断したりするようにします。

迅速なパッチ適用

セキュリティ情報をチェックし、最新のパッチを迅速に適用するようにします。

セキュリティ部門の権限強化

組織によっては、パッチ適用作業で業務が停止することを嫌ったり、承認を得るのに時間がかかったりして、対応が遅くなることがあります。

セキュリティ部門に特権を与え、迅速に行動できるようにします。

多要素認証

「多要素認証（Multi-Factor Authentication、MFA）」を導入し、簡単に権限を乗っ取られないようにします。

多要素認証とは、「何を知っているか（パスワード等）」「何を持っているか（IDカード等）」「生体情報（指紋等）」を組み合わせて認証する方式のことです。

二段階認証とは異なる概念です。

アクセス制御

厳密なアクセス管理をし、必要最低限の権限のみ付与するようにします。

セキュリティ教育

従業員だけでなく、経営層にも最新のセキュリティ教育を実施し、意識を向上させます。

レジリエンス能力の向上

残念ながら、近年のサイバー攻撃を防ぐことは困難であるというのが実態です。特に、内部犯行にあった場合はどうにもなりません。

そこで、サイバー攻撃の被害に合うことを前提として、そこからどのように回復するのかという「レジリエンス（Resilience）」が重要となっています。

まとめ ゼロデイ攻撃の特徴とは