セキュリティの
学び場

今回の解説ニュース

脆弱性が悪用されて不正アクセスを受けたインシデントについて、続報が発表されています。何らかの理由で修正ができない脆弱性のリスクを低減させる方法について説明します。

今回のインシデントは、複数の業務システムサーバに第三者が侵入し、システムを利用できなくする攻撃が行われました。原因として、システム上の脆弱性を悪用して社内ネットワークに侵入されたことが、調査会社によって明らかにされています。

対策として、悪用された脆弱性を修正し、関係省庁と警察に被害の届け出も行っています。また、再発防止策として、継続的に専門の事業者のアドバイスを受けながら、セキュリティ対策と監視体制を強化していくということです。

修正プログラム適用までの期間を狙う攻撃

何らかの理由で脆弱性を修正できない場合、サービスの停止を検討するか、それもできない場合は、サイバー攻撃を受けた場合も速やかに対応できるように、インシデントの発生を前提とした対策が求められます。

脆弱性の修正プログラムが公開されても、適用することで別の問題が発生しないか検証するために、一定の期間が必要になる場合があります。アップデートができない期間にサイバー攻撃を受けてインシデントが発生することを避けるために、サービスの停止を検討することも必要です。脆弱性の深刻度によっては、直ちにアップデートをすることが求められる場合もあるため、修正プログラムの検証ができるまでサービスを停止することで、脆弱性が悪用されることを防ぐことができます。

それでも、何らかの理由でサービスの停止ができない場合は、ただ時間が経過するのを待つだけではなく、インシデントを前提とした対策が求められます。具体的には、脆弱性があるサーバの監視を強化します。サーバの監視をするためには、必要なログが取得できるように設定することを忘れないようにしましょう。また、サイバー攻撃を受けて侵入された場合も、踏み台にされないようにあらかじめサーバを隔離しておくことも有効です。ファイアウォールなどでサーバから外部への通信を必要最小限に絞り込みましょう。

未然防止が難しいゼロデイ攻撃、対抗策はあるのか

ゼロデイ攻撃の対策は、先ほど説明したインシデントの発生を前提とした対策に加えて、ゼロデイ攻撃向けの振る舞い検知や、EDRを導入することが有効になる場合があります。

「ゼロデイ攻撃」とはどういう攻撃なのか

ゼロデイ攻撃とは、脆弱性が発見された日から、その脆弱性が修正できる手段が確立されるまでの期間に発生するサイバー攻撃です。対策までの期間がないことからゼロデイと呼ばれており、未然防止が難しいため、標的型攻撃に使われるサイバー攻撃の一つです。

セキュリティ対策も存在はするが

ゼロデイ攻撃は、あらかじめサイバー攻撃のパターンを特定することができないため、攻撃の振る舞い自体を検知するゼロデイ攻撃向けのセキュリティ対策が存在します。例えば、脆弱性をつく攻撃自体を防御したり、外部へ通信しようとするプログラムを停止します。ただし、すべてのゼロ攻撃を検知できなかったり、攻撃ではない振る舞いも過検知してしまう問題があります。

効果的なセキュリティ対策に期待「EDR」

このように、ゼロデイ攻撃は未然防止が難しいため、パソコンやサーバが侵入された後のセキュリティ対策としてEDRが注目されています。EDRとは、Endpoint Detection and Responseの略で「エンドポイントでの検知と対応」と訳されます。すべてのサイバー攻撃を未然防止することが難しい現状で、防御よりも検知と対応に重きを置いたセキュリティ対策です。例えば、ゼロデイ攻撃を受けてパソコンに侵入されてしまっても、EDRはすべての動きを監視していますので、インシデントの検知から対応までの期間を短縮化することが期待できます。

今回はインシデントの発生を前提とした対策についてお届けしました。ゼロデイ攻撃に限らず、インシデントが発生した際に速やかに対応できるよう、手順の整備や見直しは忘れずに行いましょう。