ゼロクリック攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ゼロクリック攻撃
             

ゼロクリック攻撃

ゼロクリック攻撃(Zero-Click Attack)とは、ターゲットがリンクをクリックしたり、ファイルをダウンロードしたりといった操作をしなくても、攻撃者がシステムやデバイスに不正アクセスできるサイバー攻撃の手法です。標的のデバイスやアプリに存在する脆弱性を利用するため、ユーザーの注意や防御意識をかわして攻撃を成立させる点で非常に危険とされています。

通常のフィッシング攻撃などはユーザーの操作を必要としますが、ゼロクリック攻撃ではターゲットのデバイスに送信されたメッセージや通知、特定の形式のデータが自動的に処理される仕組みを利用するため、ユーザーが知らないうちにデバイスが乗っ取られたり、情報が流出したりする恐れがあります。

ゼロクリック攻撃の仕組み

ゼロクリック攻撃は、以下のような特定のアプリケーションや通信プロトコルに存在する脆弱性を悪用して行われます。

1. メッセージアプリの脆弱性

メッセージアプリが受信した内容を自動的に処理する際の脆弱性を突く攻撃です。メッセージや添付ファイル、画像などに悪意のあるコードが含まれていると、ユーザーが内容を確認しなくても自動的に脆弱性が発動してしまいます。メッセージアプリやチャットアプリは、ゼロクリック攻撃の標的となりやすいアプリの一例です。

2. マルチメディアファイルの処理

特定の形式の画像や動画ファイルの読み込みや表示における脆弱性を悪用する方法です。たとえば、JPEGやPDFファイルに埋め込まれた悪意のあるコードが、ファイルのプレビューや表示によって自動的に実行され、デバイスに影響を及ぼすケースがあります。

3. プロトコルの脆弱性

ゼロクリック攻撃は、デバイス間の通信プロトコル(SMSやWi-Fi、Bluetoothなど)に存在する脆弱性を利用して行われることもあります。たとえば、デバイスがSMSやMMSなどで受信した特殊なデータが原因で、攻撃者のコードがデバイス上で自動的に実行されてしまうことがあります。

4. オペレーティングシステムやファームウェアの脆弱性

スマートフォンやコンピュータのOSやファームウェアに存在する脆弱性が利用されることもあります。この場合、特定のデータや通信が、OS自体の機能によって自動処理される過程で攻撃が成立し、システム全体に不正アクセスが可能になることがあります。

ゼロクリック攻撃の被害

ゼロクリック攻撃に成功すると、攻撃者は以下のような不正行為を行うことが可能になります。

  • データの窃取:個人情報や通信履歴、位置情報、写真などの機密データが盗まれます。
  • リモート操作:デバイスのカメラやマイクの遠隔操作、アプリの不正操作が可能になることもあります。
  • 監視やスパイ行為:メッセージや通話の内容を監視し、ターゲットの活動を記録して悪用します。
  • デバイスの完全制御:攻撃者がシステム権限を奪取し、デバイスを完全に掌握するケースもあります。

ゼロクリック攻撃の防止対策

ゼロクリック攻撃は、ユーザーの操作なしに成立するため、一般的なフィッシング詐欺対策では防ぐことが難しい特徴があります。しかし、以下の対策によりリスクを低減できます。

1. 最新のアップデートを適用

OSやアプリ、ファームウェアに更新があれば速やかに適用します。メーカーは脆弱性の発見後にパッチを提供するため、常に最新の状態に保つことが基本的な対策です。

2. 必要のないアプリの削除

使わないアプリや信頼できないアプリはインストールしないようにします。ゼロクリック攻撃の対象となりやすいアプリを減らすことで、リスクを抑えられます。

3. メッセージプレビューの無効化

メッセージアプリやメールでのプレビュー機能をオフにし、未知のメッセージやファイルが自動で表示されるのを防ぎます。プレビューを無効化することで、不要なデータ処理を抑えられます。

4. セキュリティソフトの利用

ゼロクリック攻撃に対応するセキュリティソフトも存在します。特にモバイルデバイスの場合、セキュリティアプリを利用することで、怪しい通信やデータを検知・ブロックする効果が期待できます。

5. デバイスの機能制限

BluetoothやWi-Fi、位置情報の機能を必要時以外はオフにしておくことも、攻撃リスクを減らすのに有効です。プロトコルを悪用したゼロクリック攻撃を防ぐために有効です。

ゼロクリック攻撃の事例

ペガサス(Pegasus)スパイウェア

ペガサスは、メッセージアプリの脆弱性を突いたゼロクリック攻撃の代表的な例で、ターゲットがメッセージを開かなくてもスパイウェアがデバイスにインストールされる仕組みでした。これにより、政府関係者やジャーナリストが監視対象とされ、個人情報や行動が詳細に記録される被害が発生しました。

iOSのiMessage脆弱性

AppleのiMessageアプリに存在した脆弱性がゼロクリック攻撃に悪用された事例もあります。この脆弱性により、攻撃者はユーザーがメッセージを開かずともデバイスに不正侵入し、情報を盗むことが可能でした。

まとめ

ゼロクリック攻撃は、ユーザーの操作を必要とせずに悪意あるコードを実行できる非常に高度で危険な攻撃手法です。これにより、ターゲットは自分のデバイスが攻撃されていることに気づかないまま、情報を漏洩するリスクにさらされる可能性があります。ゼロクリック攻撃を防ぐためには、OSやアプリの最新のアップデート適用、メッセージプレビューの無効化、不必要な機能の制限といった対策が有効です。日々進化する攻撃手法に対抗するため、利用するデバイスやアプリを安全な状態で保つことが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。