ソフトウェアに脆弱性が発見された場合、通常は修正プログラムがリリースされ、それを適用して対策するのが一般的です。しかし修正プログラムのリリースから、使用者がそれ適用するまでの時間のタイムラグにサイバー攻撃が仕掛けられることがあります。このような脆弱性を「Nデイ脆弱性」と言います。
この記事では、Nデイ脆弱性の特徴や対策方法などについて徹底解説します。
この記事の目次
Nデイ脆弱性とは
Nデイ脆弱性とは、脆弱性が発見された何らかのシステムに対して、提供された修正プログラムのリリースと、その修正プログラムが適用されるまでの時間に存在する脆弱性のことです。
既知の脆弱性を悪用した攻撃ですが、修正プログラムが適用される前に仕掛けられる攻撃のため、ソフトウェア管理が不適切な企業が標的となりやすい脆弱性です。
Nデイ脆弱性を狙った攻撃の仕組み
サイバー攻撃の一つとして、脆弱性の発見から修正プログラムの提供までの時間差に攻撃を仕掛ける「ゼロデイ攻撃」が知られていました。このようなゼロデイ攻撃への対策として、多くの企業やセキュリティベンダーは、脆弱性が発見されたら、ただちに修正プログラムを開発して、迅速に提供するようになりました。
しかし実際には、修正プログラムの提供を開始しても、エンドユーザーがその修正プログラムをソフトウェアに適用させるまでには、若干の時間差があります。そもそも自分が使っているソフトウェアに脆弱性が発見されたことすら知らないかもしれません。
このように公開された修正プログラムが行きわたるまでの時間に悪用するのがNデイ脆弱性の仕組みです。
Nデイ脆弱性の特徴
Nデイ脆弱性には次で紹介する2つの特徴があります。
悪用できる脆弱性の特定が容易
ソフトウェアの脆弱性を解消するための修正プログラムは、脆弱性を解消するためのものですが、攻撃者にとっては、脆弱性を公開している情報として悪用されることが予想されます。Nデイ脆弱性となるのは、既知の脆弱性であり、かつ修正プログラムが適用されていない脆弱性です。
つまり攻撃者にとっては、特定が容易な脆弱性であり、さらに修正されていないため、悪用すれば確実に被害を発生させることが可能です。
攻撃ツールが売買されている
サイバー攻撃には様々な攻撃ツールが売買されていますが、Nデイ脆弱性においても例外ではありません。インターネット犯罪のプラットフォームであるダークウェブなどにおいて、Nデイ脆弱性の情報やNデイ脆弱性を悪用するツールの売買や公開が進むことが予想されます。
Nデイ脆弱性とゼロデイ脆弱性の違い
Nデイ脆弱性と近い概念として「ゼロデイ脆弱性」があげられます。この2つはどのように異なるのでしょうか。
Nデイ脆弱性は公開された修正プログラムを悪用する
公開された修正プログラムを悪用する点が、Nデイ脆弱性とゼロデイ脆弱性の大きな相違点です。ゼロデイ脆弱性は、修正プログラムが公開されてない脆弱性です。つまり攻撃者は脆弱性の存在を知りつつも、修正プログラムが公開されていない脆弱性を利用して攻撃を仕掛けます。
つまりゼロデイ脆弱性の場合、悪用するための「ヒント」がないため、Nデイ脆弱性よりも難易度が高いと言えます。
Nデイ脆弱性は悪用できる脆弱性の特定が容易
サイバー攻撃を仕掛けようとする攻撃者にとって、脆弱性が存在するソフトウェアを見つけて悪用することは常套手段です。しかし攻撃者にとっては、ソフトウェアの脆弱性を自ら調査して悪用することは、高度なスキルを持っていたとしても骨の折れる作業です。
しかしNデイ脆弱性を持つソフトウェアならば、攻撃者は自ら脆弱性を発見する必要はありません。すでにセキュリティベンダーや企業が脆弱性を持つソフトウェアの情報を公開しているからです。攻撃者はセキュリティベンダーや企業が公開した脆弱性の情報を押さえて、修正プログラムを解析すれば、該当するソフトウェアの脆弱性をついた攻撃ができるのです。
Nデイ脆弱性の注意点
トレンドマイクロが2020年12月22日に公開した「2021年セキュリティ脅威予測」によると、2021年はNデイ脆弱性が重大な懸念を引き起こすと報告しています。実際に2020年には、トレンドマイクロを標的としたVPNの脆弱性を狙う攻撃を確認しただけでなく、複数の攻撃において、既知の脆弱性を悪用していることが報告されています。
Nデイ脆弱性に関する攻撃ツールが売買されていることは、先ほど紹介した通りですが、2021年以降もこのような攻撃ツールの売買がますます増加する可能性もあり注意が必要です。
Nデイ脆弱性を狙った攻撃への対策
Nデイ脆弱性を狙った攻撃への対策として以下の2点を紹介します。
サイバーセキュリティ保険
Nデイ脆弱性のように、自社の努力だけでは防衛できないサイバー攻撃に対しては、サイバーセキュリティ保険の加入もおすすめです。
万が一、サイバー攻撃の被害にあってしまうと、損害賠償費用や事故発生時の調査費用など、金銭的な負担が重くのしかかります。そのような時、サイバーセキュリティ保険に加入していれば、少なくとも金銭面での保証については安心です。
サイバーセキュリティ保険についての詳しい情報は下記をご覧ください。
参照サイバー保険比較.com
修正プログラムを提供している企業のソフトウェアを使う
ソフトウェアの脆弱性が明らかになった場合、一般的にはソフトウェアの提供者が修正プログラムを作成し公開します。しかし企業によっては、脆弱性が発見されても修正プログラムを公開しない場合もあります。例えば古すぎるソフトウェアや、最新のOSでサポートされていないソフトウェアについては、脆弱性が発見されても修正プログラムがリリースされないこともあります。
脆弱性が発見されても、修正プログラムがリリースされなければ、Nデイ脆弱性は一向に解消されません。このような状態にならないためにも、業務で使うソフトウェアについては、適切にアップデートが行われているか確認し、万が一脆弱性が発見された場合に、修正プログラムを提供しているかどうか把握するようにしましょう。
もし修正プログラムの提供などのサポート期限が切れているソフトウェアを使用している場合は、最新のソフトウェアに切り替えたり、サポートを継続している企業のソフトウェアを使用したりするなどの対策を取るべきです。
まとめ
Nデイ脆弱性は、修正プログラムが公開されている既知の脆弱性を悪用した悪質なサイバー攻撃です。Nデイ脆弱性の被害にあわないために自社にできることは、修正プログラムがリリースされた時に、できるだけ速く適用することです。そのためには自社で使用しているソフトウェアの把握や、不要となったソフトウェアが動作し続けていないかなどを確認する必要があります。