サイバー攻撃の実態Photo:PIXTA

近年、アプリケーションの脆弱性を突き、企業が予測不能な状態でサイバー攻撃を行う「ゼロデイ攻撃」の被害が増加している。さらにコロナ禍では、テレワークが広く実施されることで情報収集が遅れ、これらへの危機管理活動が阻害される事態に陥っているという。では「ゼロデイ攻撃」とは具体的にどのようなもので、経営陣はどのように危機管理体制を整えるべきなのか。企業の危機管理、リスクマネジメントを専門とする白井邦芳・社会情報大学院大学教授が解説する。

攻撃は静かに突然始まる!
予測不可能な「ゼロデイ攻撃」の脅威

 2017年3月9日、企業に対する攻撃は一斉に開始され、世界中が震撼した。JavaのWebアプリケーションフレームワークである「Apache Struts2」の脆弱性を悪用した不正アクセス事件である。
 
 一般的に企業は機密情報や個人情報データを保有している場合、一定のセキュリティ体制を確保している。ITに携わる者であればアプリケーションの完全性を信じる者は少なく、購入後にメーカーや販売者等が公表する脆弱性を予想している者が大半である。そうした背景から、企業は関係者による公表を常態的に監視したり、IPA(独立行政法人情報処理推進機構)やJPCERTなどの外部セキュリティ会社を通じたりして情報収集し、速やかに自身のシステムへの影響調査を開始して、システムの保全に務めることが通例である。

 国内企業のA社でも当該脆弱性の対象となるシステムの洗い出しを完了し、対策方法の検討を開始。WAF(Web Application Firewall)にて該当する不正パターンによるアクセスの遮断を実施すると同時に、不正アクセスの可能性の調査を実施した。その結果、不正アクセスの痕跡を確認したため「Apache Struts2」が稼働しているシステムを全停止し、ネットワーク未接続状態にあったバックアップシステムへの切り替えを実施した。

 その後、Apache Struts2の脆弱性対策をバックアップシステムに実施し、不正アクセスの事実が判明した。ここまでにかかった時間は脆弱性が公表されてから数時間。事後の対応としてはこれ以上を期待することは難しいが、標的となった法人の全量の情報が流出するという危機的事態に陥り、公表するに至った。

 後にわかったことだが、海外での製造者、販売者のアプリケーション脆弱性の公表の場合、当然英語等の現地語が使用され、IPA等が原文を日本語に翻訳するまでに数時間から1日程度を要することがある。Apache Struts2はオープンソースであったことと使い勝手がよいことが評価を得て、多くの企業が採用していたこともあり、標的の対象となってしまったが、実際のところ攻撃者は、製造者や販売者による原文の公表を監視し、その脆弱性を誰よりも早く知って同時に攻撃を開始する「ゼロデイ攻撃」に打って出ていた。