ゼロデイ攻撃

Zero-Day Attack 攻撃手法

ベンダーから修正パッチが公開される前の未知の脆弱性を悪用する攻撃。

概要

ゼロデイ攻撃 (Zero-Day Attack) は、ソフトウェアやハードウェアの未知の脆弱性を悪用する攻撃です。「ゼロデイ」とは脆弱性が公にされてから対策パッチが提供されるまでの「対策日数がゼロ」を指します。ベンダー側が認知していない、または対策がまだ存在しない期間に攻撃が成立するため、シグネチャベースの従来型セキュリティツールでは検知が困難です。

近年、AIによる脆弱性自動発見技術が進展し、未知の脆弱性が短期間で大量に発見される時代に入りつつあります。発見が防御側 (ベンダーやセキュリティ研究者) に渡れば事前修正につながりますが、攻撃側に流れれば既知パターンに頼った監視サービスは無力化されるリスクがあります。

対策の基本は (1) OS・ミドルウェア・アプリケーションの迅速なパッチ適用、(2) シグネチャに依存しない振る舞い検知の併用、(3) 侵害後の挙動 (バックドア設置・不審通信・ファイル改ざん) を早期発見する仕組みの導入です。

Scanrollはこう守る

Scanrollは既知の攻撃シグネチャだけに頼らず、サーバー上の異常な振る舞いを継続的にチェックする設計です。PHPファイルの不審な変更、/tmp配下の不審スクリプト、異常なアクセス集中、WEBサイトダウン等を監視し、ゼロデイ脆弱性経由で侵害された場合でも、攻撃後の足跡を捕捉してブロック・自動復旧します。ただし完全防御を保証するものではないため、パッチ適用との併用が前提です。