| 今さら聞けないゼロデイ攻撃┃仕組み・実被害事例・企業が今すぐ取るべき対策 | |
|---|---|
| 作成日時 26/06/09 (09:31) | View 148 |
Google Threat Intelligence Group(GTIG)の2024年分析によると、2024年に実際に悪用が確認されたゼロデイ脆弱性は75件に上り、そのうち44%が企業向けセキュリティ製品やネットワーク機器を標的にしていました。
前年(2023年)の37%から大幅に増加しており、狙われるのはもはや一般的なアプリケーションよりも、組織の境界を守るファイアウォールやVPNゲートウェイそのものです。
ゼロデイ攻撃はパッチが存在しないから防げないという印象が根強くあります。しかし問題の本質は別にあります。
パッチが存在しない窓(ウィンドウ)の間にどれだけ被害を最小化できるか、そのための仕組みを構築しているかどうかが、被害を受ける組織と受けない組織を分けています。
本記事では、以下について解説します。
●ゼロデイ攻撃の定義とパッチ適用では防げない理由
●攻撃者が脆弱性をどのように発見し、武器化してダークウェブで売買するか
●MOVEitやIvantiなど実際の被害事例が示す攻撃者の優位性
●仮想パッチ、振る舞い検知、脅威インテリジェンスによる3層防御の実践
ゼロデイ攻撃とは、ソフトウェアやシステムの脆弱性が発見されてからベンダーがパッチを提供できるまでの猶予日数がゼロの状態で、その脆弱性を悪用するサイバー攻撃です。
通常の脆弱性対策は、パッチを適用することが防御の前提になります。しかしゼロデイ攻撃では、そのパッチがまだ存在しない、あるいは存在しても各企業に届いていないという構造的な空白が悪用されます。
以下では、その空白が生まれる理由と、どの段階を攻撃者が狙うのかを解説します。
脆弱性が発見されてから企業の環境にパッチが適用されるまでには、複数のステップが存在します。
1.バグハンターや研究者、または攻撃者が脆弱性を発見する
2.発見者がベンダーへ通知する(攻撃者が発見した場合はひそかに保持または売買する)
3.ベンダーが問題を確認し、パッチを開発してテストする
4.修正プログラムが一般に公開される
5.各企業が自社環境にパッチを適用する
このプロセスは通常、脆弱性の複雑さにもよりますが数週間から数カ月を要します。パッチが公開された後であっても、企業側が適用を完了するまでには平均15日程度かかることが報告されています。
ゼロデイ攻撃が悪用するのは、このプロセスの中の2つです。
1つ目は、ベンダーが脆弱性の存在を知らない期間です。ベンダーが問題を認識していないためパッチは開発されません。攻撃者はこの期間を利用して、気づかれることなく侵害を続けられます。
2つ目は、パッチが公開されてから企業が適用するまでの期間です。CVEに登録されて世界中に公開された直後から攻撃が急増するケースも多く、適用が完了するまでは攻撃が成立します。
CVE(共通脆弱性識別子:Common Vulnerabilities and Exposures)とは、脆弱性が公開された際に付与される識別番号です。
ゼロデイ脆弱性はCVEが登録される前の段階にある脆弱性を指します。攻撃者が発見して悪用しているがCVEが存在しない状態が最も危険であり、CVEが登録済みの脆弱性を悪用する攻撃は厳密にはゼロデイとは呼びません。
このように、ゼロデイ攻撃の脅威はパッチ適用という従来の防御手順が機能しないことにあります。EDRやIPS/WAFなど他の防御手段を組み合わせる必要性は、この構造的な問題に由来しています。
ゼロデイ攻撃としばしば混同されるのが、エクスプロイトキットを使った攻撃です。
エクスプロイトキットとは、既知の脆弱性(CVE登録済み)を自動的に悪用するためのツール群で、ダークウェブで数十ドルから購入できる攻撃インフラです。
代表的なものにはRigやFalloutといったキットがあり、フィッシングサイトや改ざんされたWebサイトを通じて配布されます。
両者の本質的な違いは、使用する脆弱性の状態と攻撃対象の範囲にあります。
エクスプロイトキットは大量の標的に対して低コストで攻撃を仕掛けられますが、パッチを適用した環境には効果がありません。
ゼロデイはコストが桁違いに高く調達できる組織は限られますが、最新パッチを適用した環境にも刺さるため、大企業や政府機関、重要インフラを狙う高度な攻撃者が主に使います。
ゼロデイ攻撃の被害は、組織の内部で静かに進行します。事後の調査で初めて侵害の全容が判明するケースがほとんどであり、攻撃者がゼロデイを選ぶ理由はこの検出されにくさにあります。
ここでは、ゼロデイ攻撃が企業に与える被害を見ていきましょう。
MandiantのM-Trends 2024レポートによると、2023年の侵害検出までのグローバル中央値は10日間でした。2022年の16日から短縮されており、検出能力は全体として向上しています。
しかし、これはあくまでも検出できたケースの中央値です。ゼロデイを使った攻撃では、この平均値よりも大幅に長い潜伏期間が続く傾向があります。
理由は3つあります。
まず、シグネチャ型の検出ツールが機能しないためです。CVEが登録されていない脆弱性を使う攻撃は既知の攻撃パターンと一致しないため、アンチウイルスやIDSのシグネチャに引っかかりません。
次に、攻撃者が正規のシステムコールや標準的なプロトコルを悪用する点です。振る舞いが通常の業務トラフィックと区別しにくく、ログを見ても異常として浮かび上がりにくい状態が続きます。
最後に、攻撃者がパッチ公開後も長期間悪用し続けられる点です。2024年の調査によれば、脆弱性が開示されてから攻撃者が実際にエクスプロイトを実行するまでの期間は平均5日まで短縮されており、パッチが出ても適用が完了する前に攻撃が殺到する構図が生まれています。
特に注目すべきは、企業向けセキュリティ製品への標的シフトです。GTIGの2024年分析によると、2024年のゼロデイ攻撃のうち企業向け技術を標的にした割合は44%と、2023年の37%から上昇しました。
ファイアウォールやVPN製品、セキュリティゲートウェイを狙うことで、その機器が監視しているはずの通信全体に侵害が及ぶためです。
ゼロデイ攻撃の被害は、特定業種や規模の組織に限らず広範に及んでいます。以下の2件は、ゼロデイが組織に与える具体的な影響を示す代表的なインシデントです。
まずは、MOVEit Transfer侵害。
2023年5月27日、CLOPランサムウェアグループはファイル転送ソフトウェアMOVEit Transferに存在するゼロデイ脆弱性(CVE-2023-34362)を悪用しました。
SQLインジェクションを突いた攻撃で、WebシェルのLEMURLOOTを展開し、データを窃取しています。Progress Softwareが脆弱性を公表したのは5月31日であり、攻撃はベンダーの把握よりも先行していました。
影響を受けた組織は世界2,500以上にのぼり、BBC、英国航空(British Airways)、カナダのノバスコシア州政府など多様な業界が被害を受けました。単一製品のゼロデイを突くだけで、地理的に分散した数千の組織を一斉に侵害できることを示した典型的なインシデントです。
2024年12月以降、Ivanti Connect Secure(VPNゲートウェイ)のゼロデイ脆弱性(CVE-2025-0282)を利用した攻撃が確認されています。
認証なしでリモートコード実行を可能にするこの脆弱性は、中国系のサイバースパイグループUNC5337によって悪用されており、日本国内の組織への攻撃も含まれています。攻撃者はDslogdRATと呼ばれるマルウェアを展開し、長期にわたる潜伏活動を行いました。
インターネットに公開されているIvanti Connect Secureのインスタンスは米国に次いで日本に多く存在しており、日本の大企業にとっても直接のリスクです。
この事例が示すのは、セキュリティゲートウェイ自体がゼロデイの主要標的になっているという現実です。ゲートウェイが侵害されると、攻撃者はそこを起点に内部ネットワーク全体へのアクセス経路を確立します。
エンドポイントのEDRが正常に稼働していても、境界デバイスそのものが踏み台になっているため内部からの検出が困難になります。
インターネットに直接公開しているVPN機器やSSL-VPNゲートウェイの台数を把握し、ベンダーのサポートステータスを定期的に確認しておくことが、このタイプの侵害に対する緊急対応のポイントです。
ゼロデイ攻撃は単発の行為ではなく、発見から武器化、売買、実行まで体系的なプロセスが存在します。攻撃者の動線を追うことで、防御の設計に必要な視点が見えてきます。
攻撃者がゼロデイ脆弱性を実際に使うまでには、以下の4段階があります。
ステップ1:脆弱性の発見(または購入)
バグハンターや研究者、国家支援グループがコードを解析して未知の脆弱性を独自に発見します。または、ダークウェブや合法的な脆弱性市場から既に発見済みのゼロデイを購入します。
ステップ2:PoC(概念実証コード)の作成
発見した脆弱性を実際に動作させるための概念実証コード(Proof of Concept)を作成し、標的環境で再現できることを確認します。この段階では攻撃への転用は限定的ですが、PoCがダークウェブに流出すると悪用の入り口が一気に広がります。
ステップ3:武器化
PoCをもとに、実際の攻撃環境で動作するエクスプロイトコードを開発します。マルウェアのドロッパーに組み込み、実行後に後続のペイロード(バックドアやランサムウェアなど)を展開できる形にします。
ステップ4:標的環境へのカスタマイズ
標的組織のシステム構成やOSバージョン、セキュリティ製品の種類に合わせてコードを調整します。この段階で検出回避のための難読化も行われます。
2024年の分析によると、脆弱性が公開されてからエクスプロイトが実際に使用されるまでの期間は平均5日まで短縮されています。2020年代初頭の32日と比較すると、武器化のサイクルが劇的に加速していることがわかります。
ゼロデイ脆弱性には、正規の取引市場と非正規の地下市場という2つの流通経路が存在します。
正規市場の代表格は脆弱性買取ブローカーです。
Zerodiumは未知の脆弱性に対して公開買取価格を提示しており、Androidのフルチェーンエクスプロイトで最大250万ドルの買取価格が示されています。競合するCrowdfenseはiOS向けゼロデイに最大700万ドルを提示した実績があります。
これらのブローカーは購入した脆弱性を政府機関や法執行機関に販売しており、合法的なオペレーションとして機能しています。
非正規市場では、ダークウェブのフォーラムやプライベートチャンネルを通じてゼロデイが売買されます。
購買者は国家支援グループと犯罪グループに大別されます。前者はサイバースパイ活動や重要インフラへの攻撃を目的として高価なゼロデイを購入し、後者は経済的利益を目的としたランサムウェア展開やデータ窃取に使用します。
この市場構造が示す重要な事実は、攻撃者が投資するコストに見合うROI(投資対効果)が存在するからこそ、ゼロデイ市場が成立しているということ。政府機関や大企業が標的となる背景には、窃取した情報や身代金の市場価値がゼロデイの調達コストを大幅に上回る経済合理性があります。
パッチがない状態だからといって、防御手段がないわけではありません。仮想パッチ、振る舞い検知、脅威インテリジェンスという3つの防御層を組み合わせることで、ゼロデイが使われる窓の中でも被害を最小化できます。
3つのアプローチを、今日から着手できる順で整理します。
仮想パッチとは、ベンダーの公式パッチを適用する前に、IPS(侵入防止システム)またはWAF(Webアプリケーションファイアウォール)のシグネチャを更新することで攻撃通信を遮断するアプローチです。
脆弱なソフトウェアそのものを修正するのではなく、その前段で攻撃トラフィックをフィルタリングする形で機能します。
このアプローチが最も有効に機能するのは、ゼロデイが世間に公開された直後の段階です。
ベンダーの公式パッチが出るまでに数日から数週間かかる場合でも、IPSやWAFのベンダーは脆弱性の公開を受けてシグネチャを迅速に配信します。これにより、公式パッチがなくても攻撃通信を止められます。
ただし、この手法には限界があります。ゼロデイがまだ非公開の段階、つまり誰も脆弱性の存在を知らない期間は、シグネチャを作成する前提となる情報が存在しません。
仮想パッチは公開済みだがパッチ未適用の窓を埋める対策であり、真のゼロデイ(完全非公開)に対しては効果がありません。緊急対策として位置づけ、正式なパッチ適用を並行して進めることが重要です。
まず取り組むべき優先順位として、インターネットに直接公開されているVPN機器やファイアウォール、Webサーバーに対して仮想パッチを設定することから始めてください。GTIGの調査でセキュリティ機器へのゼロデイ攻撃が急増していることを踏まえると、
この領域の防御が最初の着手点になります。
大企業の運用体制では、仮想パッチのシグネチャ更新に変更管理の承認フローを設ける組織が少なくありません。しかし、ゼロデイ公開後の攻撃集中期間が平均5日という現実を踏まえると、セキュリティチームが独自判断で緊急更新できる権限委譲が不可欠です。
重大脆弱性については担当者レベルで即時更新を実行し、承認は事後報告とする例外フローを設けることで、対応速度と内部統制の両立が図れます。
脆弱性管理フローをITSMツールと連携してチケット管理を自動化している組織では、検知から仮想パッチ適用までのリードタイムを数日単位で短縮できます。
シグネチャ型の検出がゼロデイに機能しない理由は、未知の脆弱性であるためルールが存在しないことにあります。この問題を補うのが振る舞い検知です。
EDR(エンドポイント検知応答:Endpoint Detection and Response)は、エンドポイント上での異常な振る舞いを検出します。
具体的には、プロセスの異常な親子関係(たとえば、Officeアプリケーションがシェルを起動するといった通常はあり得ない動き)、予期しないネットワーク接続の確立、権限昇格の試みなどがアラートの対象になります。
ゼロデイが実行されると、たとえシグネチャと一致しなくても、実行後の振る舞いは既知の攻撃パターンと類似するため、振る舞い型ルールで検出できるケースがあります。
XDR(拡張検知応答:Extended Detection and Response)はEDRをさらに拡張し、ネットワークやクラウド、メール、エンドポイントの複数レイヤーのログを統合して相関分析します。
ゼロデイを使った攻撃が成功した後の横移動(ラテラルムーブメント)や権限昇格のシグナルは、単一ポイントの監視では捉えにくい場合でも、複数ソースの組み合わせで可視化できます。
大企業の情シス環境では、EDRのアラートをSIEM(セキュリティ情報イベント管理)に集約して一元管理する構成が一般的です。ただし、SIEMはルールベースの相関分析が中心であり、未知の攻撃パターンに対する検出精度はXDRの機械学習型振る舞い検知に劣ります。
ゼロデイ対応においては、既存のSIEMに加えてEDRの振る舞い検知ルールをMITRE ATT&CK TTPに対応させることが優先です。
具体的には、T1190(公開サービスの悪用)発生後のT1078(正規アカウント悪用)やT1210(リモートサービス悪用)といった横移動フェーズの検出ルールを設定することで、ゼロデイによる侵入後の動きを捕捉できます。
仮想パッチとEDRが攻撃を受けた後の検出と遮断を担うのに対し、脅威インテリジェンスは攻撃が来る前に情報を得るアプローチです。
攻撃者がゼロデイを実際に使用する前には、複数の予兆が存在します。
ダークウェブのフォーラムやクローズドチャンネルでの脆弱性に関する議論、未公開のPoCコードの流通、特定の製品を標的にした情報収集活動の増加、国家支援グループが特定の脆弱性を購入したという情報などです。
こうした情報をリアルタイムで収集するダークウェブインテリジェンスの仕組みを持つ組織は、ゼロデイが公開される前に自組織に関連するリスクシグナルを把握できます。
たとえば、自社が使用するVPN製品の脆弱性に関するダークウェブ上の議論が活発化している場合、パッチがまだ存在しない段階でもネットワーク監視の強化やアクセス制限の見直しを先手で行えます。
StealthMoleは、こうした事前察知のアプローチを自社のセキュリティ運用に組み込むための手段です。攻撃者のコミュニティで自社や自社製品に関する言及が増えている場合、インシデント発生前に察知して対処できます。
3つの防御層はそれぞれ異なるタイミングで機能します。
脅威インテリジェンスは攻撃が実行される前のシグナルを拾い、仮想パッチはパッチ公開後の空白を埋め、EDRの振る舞い検知は攻撃が実際に実行された後の挙動を捕捉します。この時系列の整理が、ゼロデイ対応の防御計画を立てる出発点です。
今日から着手する順序は以下の通りです。
1.インターネットに公開されているVPN機器やセキュリティゲートウェイのIPS/WAFシグネチャを最新に保ち、仮想パッチの運用フローを整備
2.EDRの振る舞い検知ルールをMITRE ATT&CKのTTPに対応させ、単一ポイントではなく複数レイヤーの相関分析が機能する体制を構築
3.ダークウェブ上の脅威情報を継続的にモニタリングし、自組織に関連するゼロデイ情報を攻撃の実行前に把握できる仕組みを整える
ゼロデイによるリスクをゼロにすることはできません。しかし、攻撃者がゼロデイを実行するまでのプロセスは多段階にわたり、各段階に対応する防御策が存在します。3層の防御を組み合わせることで、侵害が発生した際の被害を最小限に抑えられます。
ゼロデイ攻撃に対する備えは、パッチが出たら適用するという受動的な対応から、攻撃者の動線全体を見て先手を打つという能動的な運用へと転換することから始まります。
