ゼロデイ攻撃 ぜろでいこうげき
簡単に言うとこんな感じ!
「まだ誰も気づいていない鍵穴の欠陥」を使って侵入してくる攻撃だよ!修理(パッチ)が出る前の0日目に仕掛けてくるから「ゼロデイ」。防ぐ手段がほぼない状態なので、特に危険な攻撃なんだ!
ゼロデイ攻撃とは
**ゼロデイ攻撃(Zero-Day Attack)とは、ソフトウェアやハードウェアに存在する脆弱性(セキュリティ上の欠陥)**が、開発元・ベンダーにまだ知られていない、あるいは知られていても修正プログラム(パッチ)がまだ公開されていない段階で仕掛けられるサイバー攻撃です。「ゼロデイ」とは「パッチが存在する日数がゼロ=防御手段が何もない」という意味合いから来ています。
通常のサイバー攻撃では、既知の脆弱性を悪用するため、パッチを当てたり設定を変えたりすることで防御できます。しかしゼロデイ攻撃は、修正方法が存在しない欠陥を突いてくるため、アンチウイルスソフトやファイアウォールといった一般的な対策では検知・防御が非常に困難です。
特に国家レベルのハッカー集団や、高度な技術を持つ犯罪組織が使うことが多く、標的型攻撃(APT:Advanced Persistent Threat)と組み合わせて、重要インフラや大企業・政府機関を狙う事例が後を絶ちません。システムを発注・管理する立場の人にとっても、「ゼロデイのリスクをどう組織でマネジメントするか」は無視できないテーマです。
ゼロデイ攻撃の仕組みと流れ
ゼロデイ攻撃がどのように展開されるかを、時系列で整理するとわかりやすいです。
| フェーズ | 主な出来事 | 防御側の状況 |
|---|---|---|
| ① 脆弱性の発見 | 攻撃者(または研究者)がソフトウェアの欠陥を発見 | ベンダー・ユーザーは気づいていない |
| ② エクスプロイト作成 | 攻撃者が欠陥を悪用する「エクスプロイトコード」を開発 | 対策なし(ゼロデイ状態) |
| ③ 攻撃の実行 | 標的へ攻撃を仕掛ける | 検知・防御がほぼ不可能 |
| ④ 脆弱性の公開 | ベンダーや研究者が脆弱性を把握・公表 | パッチ開発がスタート |
| ⑤ パッチ公開 | 修正プログラムがリリースされる | ユーザーがパッチ適用で防御可能に |
| ⑥ パッチ適用 | 各組織がアップデートを実施 | 脆弱性が解消される |
ゼロデイ攻撃が最も危険なのは①〜④の間です。この期間はどんな組織も「知らずに狙われている可能性がある」状態に置かれます。
「エクスプロイト」とは?
エクスプロイト(Exploit)とは、脆弱性を実際に悪用するためのプログラムやコードのことです。攻撃者はエクスプロイトを使って、対象システムに不正アクセスしたり、マルウェアを仕込んだりします。ゼロデイのエクスプロイトはダークウェブ(違法な取引が行われるインターネットの裏側)で高値(数百万〜数億円相当)で売買されることもあります。
ゼロデイ脆弱性の主な悪用ルート
- メールの添付ファイル・URLリンク — フィッシングメールで開かせる
- Webブラウザの欠陥 — 悪意あるサイトを閲覧するだけで感染
- VPN・ファイアウォール製品の脆弱性 — ネットワーク境界の機器を直接狙う
- OSやミドルウェアの欠陥 — 深いシステム権限を奪取できる
歴史と背景
- 1990年代後半〜2000年代初頭 — インターネットの普及とともに、脆弱性情報の売買市場が形成され始める
- 2003年 — Windowsのバッファオーバーフロー脆弱性を突いた「Blasterワーム」が世界的に感染拡大。ゼロデイ攻撃の脅威が広く認識されるきっかけに
- 2010年 — Stuxnet(スタクスネット)が発見される。イランの核施設を標的にしたとされる史上初の本格的サイバー兵器。Windows・Siemens製品の4つのゼロデイ脆弱性を同時に悪用し、世界に衝撃を与えた
- 2014年 — 「Heartbleed(ハートブリード)」がOpenSSLで発覚。世界中のWebサーバーに影響し、ゼロデイ脆弱性のリスクが一般にも広く知られるようになる
- 2017年 — EternalBlue(エターナルブルー)と呼ばれるNSA(米国家安全保障局)由来のゼロデイエクスプロイトが流出。これを利用した「WannaCry」ランサムウェアが世界150か国以上の組織を被害に巻き込んだ
- 2020年代〜 — VPN機器・ファイアウォール・リモートアクセスツールを標的にしたゼロデイ攻撃が急増。テレワーク普及を背景に、日本企業も被害報告が相次ぐ
関連する概念・攻撃手法との比較
ゼロデイ攻撃は単体で使われることもありますが、多くの場合、他の攻撃手法と組み合わせて使われます。
| 用語 | 意味 | ゼロデイとの関係 |
|---|---|---|
| ゼロデイ脆弱性 | パッチ未公開の欠陥そのもの | ゼロデイ攻撃の「弾」にあたる |
| エクスプロイト | 脆弱性を悪用するコード | ゼロデイを実際に攻撃に変換するツール |
| APT(高度標的型攻撃) | 特定組織を長期間かけて執拗に狙う攻撃 | ゼロデイをAPTの侵入手段として使う |
| ランサムウェア | データを暗号化して身代金要求するマルウェア | ゼロデイで侵入後にランサムウェアを仕込む |
| パッチ | 脆弱性を修正するプログラム | パッチ公開後はゼロデイではなくなる |
| CVE(共通脆弱性識別子) | 脆弱性に付与される世界共通のID番号 | ゼロデイが公表されるとCVEが割り振られる |
ゼロデイ攻撃の発生から対応までの流れ(図解)
ゼロデイ攻撃への主な対策
ゼロデイはパッチ前提の防御が通用しないため、複数の手段を組み合わせる多層防御が基本です。
| 対策カテゴリ | 具体的な手段 | 効果 |
|---|---|---|
| 迅速なパッチ適用 | パッチ公開後すぐ適用する運用体制を整える | パッチ公開後のリスク期間を最短化 |
| ふるまい検知(EDR) | 不審な動作パターンをAIで検知するツール導入 | 未知の攻撃にも対応できる可能性 |
| ネットワーク分離 | 重要システムをインターネットから切り離す | 侵入されても横展開を阻止 |
| 最小権限の原則 | ユーザー・システムに必要最低限の権限のみ付与 | 侵入後の被害範囲を限定 |
| 脅威インテリジェンス | セキュリティ機関の情報を購読し早期把握 | ゼロデイ情報をいち早くキャッチ |
| バックアップ・復旧計画 | 定期バックアップと復旧手順の整備 | 被害を受けても業務継続できる |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 9116 | security.txtの標準化。脆弱性報告の窓口をWebサイトで明示する仕組み |
関連用語
- 脆弱性(セキュリティホール) — ソフトウェア・機器に存在するセキュリティ上の欠陥・弱点
- マルウェア — 悪意を持って作られた不正プログラムの総称
- ランサムウェア — データを暗号化して身代金を要求する攻撃型マルウェア
- APT(高度標的型攻撃) — 特定組織を長期間にわたり執拗に狙う高度なサイバー攻撃
- CVE(共通脆弱性識別子) — 公表された脆弱性に付与される世界共通のID体系
- EDR(エンドポイント検知・対応) — 端末上の不審なふるまいをリアルタイムで検知・対応するセキュリティツール
- パッチ管理 — ソフトウェアの修正プログラムを計画的に適用・管理する運用プロセス
- 多層防御(Defense in Depth) — 複数のセキュリティ対策を組み合わせて被害を最小化する考え方