ゼロデイ攻撃､餌食は｢アップデート｣甘く見る人

サイバー攻撃や情報漏洩などの被害を防ぐために行う「セキュリティアップデート」を後回しにして、ソフトウェアを使い続けていないだろうか。

ソフトウェアの脆弱性を突く「ゼロデイ攻撃」の餌食となるのは、そのほとんどがセキュリティアップデートが公開されても更新していないユーザーだという。

ゼロデイ攻撃とは、どんな攻撃？

ゼロデイ攻撃とは、ソフトウェアのバグや不具合を利用するサイバー攻撃のこと。ハッキングや攻撃に利用できるバグや不具合、仕様上の問題をセキュリティ用語では「脆弱性（Vulnerability）」と呼ぶ。

「ゼロデイ」の意味は、発見された脆弱性の対策方法や修正プログラム（パッチ）が公開された日のことで、公開日をゼロデイ（第0日）として、システムが安全でない状態で、その前後に発生する攻撃がゼロデイ攻撃というわけだ。

自動車でいえば、リコールを想像するとイメージしやすいかもしれない。リコールは、メーカーが発見した不具合を対策部品とともに発表し、ユーザーに修理を呼び掛ける。ディーラーで対策や部品交換を行えば安全となるが、リコールに対応しなければ危険な状態で車に乗り続けることになる。

ソフトウェアでは、発見された脆弱性を、修正プログラムや対応策あるいはセキュリティアップデートとともに一般に公開する。ゼロデイ攻撃は、リコールの対策をしていない状態、あるいは対策する前に障害が発生した状態ともいえる。

ゼロデイ攻撃の3つのパターン

こうした「公開されていない未知の脆弱性による」ゼロデイ攻撃を細かくみていくと3つのパターンに分類できる。

1つめは、ハッカーが独自に発見した脆弱性を利用したサイバー攻撃。2つめは、メーカーが発見して修正プログラムを作っている間に、その脆弱性をハッカーも偶然発見しているか、何らかの方法で情報を得て利用されてしまう場合。3つめは、脆弱性が発見され、対策や修正プログラムも公開されているが、知らない、システムが動かなくなるといった理由で修正プログラムを適用していない状態で、攻撃を受けてしまう場合だ。

攻撃者しか発見していない脆弱性は、メーカーもユーザーも対策のしようがない。メーカー側の対策中に攻撃されても同様だ。だが、1と2の攻撃は、実際の発生件数はそれほど多くないと推測される。

推測される、としたのは現実の被害で、どの脆弱性が使われたのかは、被害システムとマルウェアの細部に踏み込んだ解析が必要で、簡単に断定はできないからだ。未知の脆弱性攻撃は、言ってみれば新しい攻撃手法の発見・開発なので、統計情報に表れにくい。

現実のサイバー攻撃で、ゼロデイ攻撃の被害とされるものは、3の脆弱性情報が公開されてからが多いとされる。攻撃者は、セキュリティアップデートが公開されても、ユーザーはすぐに更新しないことを知っているのだ。

単純にセキュリティアップデートを知らないで放置される場合もあるが、業務システムの動作に影響を与えるため、あえてセキュリティアップデートをしない企業も存在する。

似たような理由で、個人ユーザーもアップデートを行わないことがある。使っているアプリが動かなくなるかもしれない、面倒でよくわからないので更新はしない、といった理由で放置される。

アメリカのセキュリティ企業、トリップワイヤが行った2019年の調査では、修正プログラム（パッチ）の適用をすぐに行う企業は9％ほどだった。

つまり攻撃者は、未知の脆弱性を自力で発見するのではなく、脆弱性情報が公開されたら、その情報を利用して攻撃を始める。それは通信事業者や研究機関のセキュリティレポートで、脆弱性情報の公開後に攻撃トラフィックが増える事象を見ても明らかだ。

2021年以降ゼロデイ攻撃が増えた理由

ゼロデイ攻撃の実数の把握は難しいが、攻撃は増えているとみていいだろう。Googleの脅威分析グループ（TAG）は、ゼロデイ攻撃に関するレポートを定期的に発表している。

2024年3月に発表されたレポートでは、TAGが2023年に観測・分析したゼロデイ攻撃は97件。2020年までは30件前後だったものから2021年以降ゼロデイ攻撃が増えている。

ゼロデイ攻撃増加の原因は複数考えられるが、2021年以降の増加は、IoT機器やVPN装置の利用拡大が影響している。Webカメラやルーターなどインターネットにつながる機器の増加とともに攻撃は増加傾向にあったが、コロナパンデミックをきっかけにゼロデイ攻撃の増加に拍車がかかった。

体温測定のためにWebカメラの設置場所が急増したり、オンライン会議やリモートワークが増え、ネットワーク機器市場が拡大したからだ。

このような機器は、PCやスマートフォンと違って定期的なセキュリティアップデートの仕組みがないことがほとんどである。

Webカメラやオフィスのルーター、VPN装置は設置されると壊れるまで稼働させるのが普通で、脆弱性が発見されたとしてもセキュリティアップデートができず（おそらく手動で行う必要がある）、ゼロデイ攻撃の標的となりやすい。ネット家電も同様のリスクを抱えているので、今後もゼロデイ攻撃の増加傾向は続く可能性が高い。

クラウド化やDXも、ゼロデイ攻撃の増加に関係している。現在のソフトウェア開発では、すべての機能を一からプログラムすることはせず、ソフトウェア部品を購入して組み合わせる、あるいはクラウド上の機能と連携させて1つのシステムやアプリケーションを構築する。

この中の1つに脆弱性が存在すると、無数のソフトウェア製品やウェブサイトに脆弱性が遍在することになり、すべてにセキュリティパッチを当てることは困難だ。

基本の対策はセキュリティアップデート

先ほど、ゼロデイ攻撃は脆弱性情報が公開されると増えるという話をした。ならば情報を公開しなければ安全なのではないか、という疑問が湧く。情報の秘匿による安全性の確保は確かに有効だが、ソフトウェアの脆弱性、サイバー攻撃においては必ずしも適用できない。

ハッキングやサイバー攻撃が始まったとされる1970年代からの業界の知見によって、脆弱性を秘匿しても攻撃者や犯罪者に知れ渡るのは時間の問題であることがわかっている。秘匿するより公開してパッチを当てたほうが全体として安全性が保たれるのだ。

したがって、開発メーカーに求められるのは、透明性と脆弱性情報の正しい共有体制となる。メーカーの開発者やユーザーが発見した脆弱性は、国際的に一元管理される仕組みが整備されているので、企業や組織ごとに勝手な判断をしない、通報や指摘があっても秘匿すれば安全だろうという考え方は捨てることだ。

企業や一般ユーザーが取れる対策は、1にも2にもセキュリティアップデートを確実に行うこと。

自動アップデート設定は有効にしておく。その機能がない場合は、メーカーや開発元、IPAやJPCERT/CCなどが公表する脆弱性情報にも注意を払い、確実に実施するようにしたい。修正プログラムの開発が困難な場合は、緩和策、防御策だけが公開されることもある。この場合も可能な限り対策を実施することが重要だ。

アップデートを行うと業務システムに影響が出るという場合も、緩和策の実施や代替の防御策を検討して実施する必要がある。システム上やむを得ないこともあるが、現在はセキュリティアップデートで支障が出るようなシステム設計にはすべきではない。

業務ネットワークやシステム側でできる対策もある。システムログ（記録）の取得やネットワークトラフィックの監視、ふるまいを検知するシステムの導入だ。

具体的には、IDS/IPSのような悪意のある通信を遮断する高度なファイアウォール製品や、EDR（Endpoint Detection and Response）というシステム・ネットワーク・プログラムの動作などを総合的に監視して脅威・不正検知を支援してくれるシステムなどがある。

コストはかかるが、専門家による脆弱性診断、ペネトレーションテストで、システム全体の脆弱性や穴（セキュリティホール）を発見する手法もある。

脆弱性診断とは、システムを構成するOSやソフトウェアの種類、バージョンを調べて、公開された修正プログラムが適用されているか、対策済みかどうかを見て脆弱性を発見する。

一方、ペネトレーションテストは、専門家が外部から実際に稼働しているシステムにアクセスして、侵入可能かどうか、脆弱性が存在しないかを洗い出す検査手法だ。専門家は、実際の攻撃者が使うツールや手法によってサイトやシステムに疑似攻撃を試みる。侵入やアクセスが成功したら、その箇所や問題点とともに対策を考えるというものだ。

変容するゼロデイ攻撃

前述したTAGのレポートでは、ゼロデイ攻撃の増加・変化として、これまで一般的だった金銭目的以外の攻撃が増えている点を指摘している。背景にスパイウェアを販売する民間企業（商用監視ベンダー：CSV）があるという。

スパイウェアとは、スマートフォンなどに忍び込ませる監視・諜報アプリだ。通常、公式ストアにアップロードされるアプリはGoogleやアップルの審査を受ける必要があり、不正なアプリは排除される。

だが、Googleによれば一部の民間企業が、政府や国家機関を相手にした新しいビジネスを拡大させているという。スマートフォンのデータを盗み出したり、カメラやマイクなどを遠隔操作する部分に、OSなどソフトウェアの脆弱性を利用しているとレポートは分析している。なお、ソフトウェアに脆弱性がなくても、アプリのカメラアクセスやマイクアクセスを許可していると遠隔操作されてしまう。

顧客は政府や軍になるので大きな市場ではないが、スマートフォンにエクスプロイトと呼ばれるマルウェアをインストールするスパイウェアを販売する企業（CSV）が増えてきている。

これまでスパイウェアといえばイスラエルのNSOが有名だったが、2024年には中国のスパイウェアベンダーの内部資料が暴露され、ウイグルでの監視にスパイウェアが利用されていたことなどが確認されている。

各国政府がスパイウェアを活用するのは、犯罪捜査やテロ対策のためだ。だから一般の人は対象外だが、政府関係者、軍人、政治家、ジャーナリスト、科学者・研究者などは注意が必要だ。テロリスト以外では、中国・ロシアなど体制主義国家のジャーナリストや学生、研究者は監視対象と考えたほうがいい。とくに海外在住の企業人や研究者は要注意だ。

Googleやアップルは、スマートフォンのメモリを直接保護するモードを用意している。有効にする機能の名前は、iPhoneではロックダウンモードという。Pixel 8ではMTEという機能がこれに相当する。上記に該当するユーザーは、設定をオンにせよ（使える機能は制限される）とGoogleはアナウンスしている。

（中尾 真二 ： ITジャーナリスト・ライター）