ゼロデイ攻撃､餌食は｢アップデート｣甘く見る人 ソフトウェアの脆弱性突くサイバー攻撃の1つ

このような機器は、PCやスマートフォンと違って定期的なセキュリティアップデートの仕組みがないことがほとんどである。

Webカメラやオフィスのルーター、VPN装置は設置されると壊れるまで稼働させるのが普通で、脆弱性が発見されたとしてもセキュリティアップデートができず（おそらく手動で行う必要がある）、ゼロデイ攻撃の標的となりやすい。ネット家電も同様のリスクを抱えているので、今後もゼロデイ攻撃の増加傾向は続く可能性が高い。

クラウド化やDXも、ゼロデイ攻撃の増加に関係している。現在のソフトウェア開発では、すべての機能を一からプログラムすることはせず、ソフトウェア部品を購入して組み合わせる、あるいはクラウド上の機能と連携させて1つのシステムやアプリケーションを構築する。

この中の1つに脆弱性が存在すると、無数のソフトウェア製品やウェブサイトに脆弱性が遍在することになり、すべてにセキュリティパッチを当てることは困難だ。

基本の対策はセキュリティアップデート

先ほど、ゼロデイ攻撃は脆弱性情報が公開されると増えるという話をした。ならば情報を公開しなければ安全なのではないか、という疑問が湧く。情報の秘匿による安全性の確保は確かに有効だが、ソフトウェアの脆弱性、サイバー攻撃においては必ずしも適用できない。

ハッキングやサイバー攻撃が始まったとされる1970年代からの業界の知見によって、脆弱性を秘匿しても攻撃者や犯罪者に知れ渡るのは時間の問題であることがわかっている。秘匿するより公開してパッチを当てたほうが全体として安全性が保たれるのだ。

したがって、開発メーカーに求められるのは、透明性と脆弱性情報の正しい共有体制となる。メーカーの開発者やユーザーが発見した脆弱性は、国際的に一元管理される仕組みが整備されているので、企業や組織ごとに勝手な判断をしない、通報や指摘があっても秘匿すれば安全だろうという考え方は捨てることだ。

企業や一般ユーザーが取れる対策は、1にも2にもセキュリティアップデートを確実に行うこと。

自動アップデート設定は有効にしておく。その機能がない場合は、メーカーや開発元、IPAやJPCERT/CCなどが公表する脆弱性情報にも注意を払い、確実に実施するようにしたい。修正プログラムの開発が困難な場合は、緩和策、防御策だけが公開されることもある。この場合も可能な限り対策を実施することが重要だ。

アップデートを行うと業務システムに影響が出るという場合も、緩和策の実施や代替の防御策を検討して実施する必要がある。システム上やむを得ないこともあるが、現在はセキュリティアップデートで支障が出るようなシステム設計にはすべきではない。

業務ネットワークやシステム側でできる対策もある。システムログ（記録）の取得やネットワークトラフィックの監視、ふるまいを検知するシステムの導入だ。