ゼロデイの恐怖

「ゼロデイ攻撃」とは、ソフトウェアの脆弱性を狙ったサイバー攻撃のうち、脆弱性が見つかってからパッチなどの修正策が存在しない段階(脆弱性の検知から0 day)で行われる攻撃のことを指します。

2017年3月10日、東京都と住宅金融支援機構、JETROがApache Struts2の脆弱性をついたサイバー攻撃の被害を公表しました。
このうち東京都と住宅金融支援機構がクレジットカード払い部分の運営を委託していたのが、決済代行事業者大手のGMOペイメントゲートウェイです。

GMOペイメントゲートウェイは5月1日に第2四半期の決算説明を行いましたが、その中で、本セキュリティインシデント対応で2億7千万円の特別損失を計上しました。
(ただし、保険金の支払いが1億6千万円あったため、差し引き損失は1億1千万円とのことです)

同社の調査報告

同社の調査報告には事件の経緯が詳しく書かれています。

(概要)
3/6 US Apache Siteで脆弱性情報が公表される
3/7 GitHubで攻撃コード公開
3/8 4:54 保険特約料支払いサイトへ攻撃開始
   15:25 外部セキュリティ情報サービスより脆弱性情報を受信
   16:51 都税支払いサイトへ攻撃開始
3/9 18:00 本件脆弱性に関するIPAの注意喚起を把握
3/10 0:30 Apach Struts2パッチ適用
   2:15 都税支払いサイト、保険特約料支払いサイトへで不正侵入の痕跡とDBへの不正アクセスを確認

経緯に日付と時間が入っているので緊迫感がすごく伝わってきますね。

さすがGMOペイメントさん、対応が迅速ですね。
おそらくWebセキュリティの多層防御対策もしっかりなさってたことと思います。

しかし、サイバー攻撃は常に進化を続けています。
セキュリティ防御手法は新たな攻撃を解析して編み出されるものであるため、新たな攻撃手法に対しては無力です。
どれだけ防御に力を入れても、セキュリティ被害を完全に防ぐことはできません。

なので、情報セキュリティ対策では、被害対策も必ず行う必要があります。

・ログ管理
 どこから何をされたのか追跡できるように

・バックアップ
 暗号化や改ざんされたデータを復旧

・CSIRT
 セキュリティインシデント対応の専門チームの整備

本事件では、改めて「ゼロデイ攻撃の恐怖」を再確認しました。
「被害にあった後」の対策もしっかりせねばなりませんね。