ゼロデイ攻撃を初心者でも分かりやすく解説

用語

あなたが使っているソフトウェアに、開発者も知らない欠陥があり、攻撃者だけがそれを知っている──それがゼロデイ攻撃の恐怖です。まだ修正パッチが提供されていない脆弱性を悪用し、防御側が対応する時間がゼロの状態で攻撃を仕掛けます。2021年のMicrosoft Exchange Serverのゼロデイ脆弱性では世界中の数万組織が同時攻撃を受け、2010年のStuxnetは複数のゼロデイ脆弱性を使ってイランの核施設を物理的に破壊しました。最新のセキュリティソフトを導入していても、ソフトウェアを常に更新していても、未知の脆弱性に対しては無力です。横断テクニック(広く使われる攻撃手口)として、国家支援のAPTグループや高度な攻撃者が使用する最も危険なサイバー攻撃の一つです。この記事では、ゼロデイ攻撃の仕組みから被害事例、そして多層防御や異常検知などの包括的なセキュリティ対策まで、初心者にも分かりやすく解説します。

ゼロデイ攻撃とは?

ゼロデイ攻撃とは、ソフトウェアやシステムにまだ公表されていない脆弱性(セキュリティホール)を悪用し、修正パッチが提供される前に攻撃を仕掛けることです。横断テクニック(広く使われる攻撃手口)の中でも、最も危険で防御が困難なサイバー攻撃です。
「ゼロデイ(Zero-Day)」という名称は、脆弱性が公表されてから修正パッチが提供されるまでの「対応可能な日数がゼロ日」という状態を意味します。通常、ソフトウェアの脆弱性が発見されると、開発者は修正パッチを作成し、ユーザーに配布するまでに数日から数週間の猶予があります。しかし、ゼロデイ攻撃では、脆弱性の存在が公になる前、あるいは公表と同時に攻撃が開始されるため、防御側には対応する時間がありません。
ゼロデイ脆弱性は、通常の脆弱性とは異なる経路で発見されます。セキュリティ研究者が責任ある開示(開発者に報告してパッチが準備されるまで公表しない)をする場合もあれば、攻撃者が独自に発見して秘密裏に悪用する場合もあります。また、ダークウェブでゼロデイ脆弱性の情報が高額で売買されることもあり、国家が支援する高度な攻撃グループ(APT)や組織犯罪グループが入手して使用します。
ゼロデイ攻撃は、Windows、macOS、iOS、Android、Adobe製品、ブラウザ、VPN機器、ファイアウォールなど、広く使われているソフトウェアやハードウェアの脆弱性を狙います。特に、重要インフラ、政府機関、大企業、セキュリティ企業などが標的となりやすく、高度な技術と多額の資金を持つ攻撃者が使用する横断テクニック(広く使われる攻撃手口)です。
一般的なマルウェア対策ソフトやファイアウォールは、既知の脅威に対しては有効ですが、ゼロデイ攻撃は「未知の脅威」であるため、シグネチャベースの検知では防げません。このため、ゼロデイ攻撃への対策には、異常検知、サンドボックス、振る舞い検知など、より高度なセキュリティ技術が必要です。

ゼロデイ攻撃を簡単に言うと?

家の玄関の鍵に、製造元も知らない欠陥があり、泥棒だけがその欠陥を知っていて悪用する状況に似ています。通常、鍵の欠陥が見つかれば、製造元は新しい鍵を配布したり、修理方法を案内したりできます。しかし、ゼロデイ攻撃では、泥棒が先にその欠陥を発見して侵入し、製造元が欠陥の存在に気づいたときには既に多数の家が被害に遭っています。
デジタルの世界では、ソフトウェアやシステムに存在する「まだ誰も(開発者も)知らない脆弱性」を攻撃者が発見し、修正される前に悪用します。企業や個人は、パッチが提供されるまで無防備な状態にさらされます。ソフトウェアを最新版に保っていても、セキュリティソフトを導入していても、ゼロデイ脆弱性に対しては効果がありません。横断テクニック(広く使われる攻撃手口)として、様々な種類のソフトウェアやシステムで使用される極めて危険な攻撃手法です。

ゼロデイ攻撃で発生する被害は?

ゼロデイ攻撃による被害は、防御側が対策を講じる手段がない状態で攻撃を受けるため、極めて深刻になります。横断テクニック(広く使われる攻撃手口)として、一度に多数の組織や個人が被害を受け、社会全体に影響が及ぶこともあります。

ゼロデイ攻撃で発生する直接的被害

広範囲かつ同時多発的な侵入

ゼロデイ攻撃は、特定のソフトウェアやシステムを使用しているすべてのユーザーが標的となります。2021年のMicrosoft Exchange Serverのゼロデイ脆弱性では、世界中の数万の組織が同時に攻撃を受け、メールサーバーが侵害されました。パッチが提供されるまでの数日から数週間、すべてのユーザーが無防備な状態で攻撃にさらされます。ファイアウォールやセキュリティソフトを通過して侵入されるため、従来のセキュリティ対策では防げず、組織の規模や業種を問わず被害が発生します。

重要インフラとシステムの完全掌握

ゼロデイ攻撃で侵入した攻撃者は、システムの深い層まで到達し、管理者権限を奪取します。2010年のStuxnetは、イランの核施設の産業制御システム(ICS)に対するゼロデイ攻撃で、複数のゼロデイ脆弱性を組み合わせて使用し、物理的な破壊を引き起こしました。VPN機器やファイアウォールのゼロデイ脆弱性が悪用されれば、ネットワーク全体への侵入を許し、すべてのシステムが危険にさらされます。重要インフラ、金融機関、政府機関などが標的となると、社会機能全体が麻痺する可能性があります。

機密情報の窃取と長期間の潜伏

ゼロデイ攻撃を使用する攻撃者は、高度な技術を持つ国家支援のAPTグループや組織犯罪グループであることが多く、侵入後は慎重に行動して長期間検知されません。2023年のMOVEit Transferのゼロデイ脆弱性では、ファイル転送ソフトウェアの欠陥が悪用され、数百の企業や政府機関から機密データが盗まれました。ゼロデイ攻撃による侵入は、通常のセキュリティ監視では異常として検知されず、数ヶ月から数年間にわたって機密情報が継続的に盗まれ続けます。

ゼロデイ攻撃で発生する間接的被害

パッチ配布までの混乱と業務停止

ゼロデイ脆弱性が公表されると、組織は緊急対応を迫られます。パッチが提供されるまでの間、脆弱なシステムの使用を停止したり、ネットワークから隔離したりする必要があり、業務が大幅に制限されます。重要な業務システムが影響を受ける場合、サービス提供を停止せざるを得ず、売上損失、顧客への影響、契約違反などが発生します。緊急パッチの適用作業も、通常のメンテナンス時間外に実施する必要があり、IT部門の負担が極めて大きくなります。

攻撃の連鎖と二次被害

ゼロデイ攻撃で侵入した攻撃者は、そこを足がかりにして他の組織への攻撃を展開します。ゼロデイ脆弱性を使って侵入したサプライヤーを経由して、その顧客企業にも侵入するサプライチェーン攻撃、ゼロデイ攻撃で得た認証情報を使って他のシステムに横展開する攻撃など、被害が連鎖的に拡大します。一つの組織へのゼロデイ攻撃が、業界全体、地域全体に波及することがあります。

対策コストと信頼性への疑念

ゼロデイ攻撃を受けた組織は、緊急対応、フォレンジック調査、システムの全面的な見直し、セキュリティ対策の強化など、膨大なコストがかかります。さらに、「最新のセキュリティ対策を実施していても攻撃される」という事実が、ITシステム全体への信頼性を揺るがします。顧客や取引先からは「セキュリティが甘い」と見なされ、実際には防ぎようがなかったとしても、企業の評判が低下します。

ゼロデイ攻撃の対策方法

ゼロデイ攻撃は、修正パッチが存在しない脆弱性を悪用するため、完全に防ぐことは困難です。しかし、リスクを減らし、被害を最小限に抑え、早期に検知する対策は可能です。
予防的な対策として、攻撃対象面の削減が重要です。不要なソフトウェアやサービスを削除し、使用しない機能は無効化します。インターネットに公開するシステムを最小限にし、必要なものだけに限定します。VPN機器、ファイアウォール、Webサーバーなど、外部からアクセス可能なシステムは特に厳重に管理します。
多層防御の実装も効果的です。一つのセキュリティ対策が突破されても、次の層で攻撃を止められるよう、ファイアウォール、侵入検知システム(IDS)、エンドポイント保護、ネットワークセグメンテーション、アクセス制御など、複数の防御層を組み合わせます。ゼロデイ攻撃で一つの防御が突破されても、他の層が機能すれば被害を限定できます。
異常検知とサンドボックス技術の活用により、既知のシグネチャに依存せず、通常と異なる振る舞いを検知します。機械学習ベースの異常検知システムは、ゼロデイ攻撃の兆候を捉える可能性があります。疑わしいファイルやプログラムは、サンドボックス環境で実行して安全性を確認してから本番環境に適用します。
仮想パッチの適用も有効です。物理的なパッチが提供される前に、WAF(Webアプリケーションファイアウォール)やIPS(侵入防止システム)で、既知のゼロデイ攻撃パターンをブロックする仮想パッチを適用します。完全な防御ではありませんが、一定の保護効果があります。
迅速なパッチ適用プロセスの整備も不可欠です。ゼロデイ脆弱性のパッチが提供されたら、最優先で適用します。パッチ適用の優先順位付け、テスト環境での事前検証、本番環境への迅速な展開というプロセスを確立しておきます。緊急パッチの場合、通常のメンテナンス窓口を待たずに適用する判断も必要です。
脅威インテリジェンスの活用により、最新のゼロデイ脆弱性情報を入手します。セキュリティベンダー、CERT、政府機関などが提供する脅威情報を監視し、自社が使用しているソフトウェアに関連するゼロデイ情報が公開されたら、即座に対応します。
インシデント対応計画にゼロデイ攻撃のシナリオを含め、定期的に訓練を実施します。ゼロデイ攻撃を受けた場合の対応手順、エスカレーション、ステークホルダーへの連絡、業務継続などを明確にしておきます。

ゼロデイ攻撃の対策を簡単に言うと?

まだ知られていない感染症が突然流行したときの対策に似ています。特効薬(パッチ)がまだ開発されていないため、完全に防ぐことはできませんが、リスクを減らす対策は取れます。
まず、感染リスクを下げるために、人混みを避け(攻撃対象面の削減)、手洗いうがいを徹底し、マスクをつけ、換気をよくするなど、基本的な衛生対策を複数組み合わせます(多層防御)。体温や症状を毎日チェックし、異常があればすぐに隔離します(異常検知)。
新しい感染症の情報を常に収集し(脅威インテリジェンス)、特効薬が開発されたら最優先で入手して使用します(迅速なパッチ適用)。万が一感染した場合の対応手順を事前に決めておき(インシデント対応計画)、定期的に訓練します。横断テクニック(広く使われる攻撃手口)であるゼロデイ攻撃への対策は、完全な防御ではなく、リスク軽減と早期検知・対応の組み合わせが現実的なアプローチです。

ゼロデイ攻撃に関連した攻撃手法

ゼロデイ攻撃は、横断テクニック(広く使われる攻撃手口)の中でも初期侵入や権限獲得に使われる強力な手段であり、他の攻撃手法と組み合わせて使用されることが多くあります。

権限昇格/横展開は、ゼロデイ攻撃で得た初期アクセスをさらに拡大する手法です。ゼロデイ攻撃でシステムに侵入した攻撃者は、まだ一般ユーザー権限しか持っていない場合があります。そこで、OSやアプリケーションのゼロデイ脆弱性を悪用して権限昇格し、管理者権限を奪取します。さらに、ネットワーク内の他のシステムに横展開して、より価値の高い標的に到達します。ゼロデイ攻撃は侵入の入口であり、権限昇格/横展開はその後の攻撃の拡大手段です。両者を組み合わせることで、攻撃者は限定的なアクセスから組織全体の完全な支配へと段階的に進みます。どちらも横断テクニック(広く使われる攻撃手口)として、様々な種類の攻撃で使用される基本的かつ強力な手法です。
正規ツール悪用(Living off the Land)は、ゼロデイ攻撃で侵入した後、検知を回避するために使われます。ゼロデイ攻撃でシステムに侵入した攻撃者は、その後の活動でマルウェアを使うとセキュリティソフトに検知される可能性があります。そこで、WindowsのPowerShell、WMI、PsExecなど、OSに標準で搭載されている正規ツール悪用(Living off the Land)により、異常として検知されにくい形で攻撃を継続します。ゼロデイ攻撃という「未知の脆弱性の悪用」と正規ツール悪用(Living off the Land)という「既知のツールの正規使用」を組み合わせることで、侵入から活動までの全プロセスで検知を回避します。両者とも横断テクニック(広く使われる攻撃手口)として、高度な攻撃者が好んで使用する手法です。
認証情報の窃取は、ゼロデイ攻撃の主要な目的の一つです。ゼロデイ攻撃でシステムに侵入した攻撃者は、最初に認証情報の窃取を試みます。パスワード、トークン、証明書、Cookieなどを盗むことで、正規ユーザーになりすまして他のシステムにアクセスできるようになります。特に、ブラウザやメールクライアントのゼロデイ脆弱性を悪用した認証情報の窃取は、その後の攻撃の成否を左右する重要なステップです。ゼロデイ攻撃は初期侵入の手段であり、認証情報の窃取はその後の横展開や長期的な潜伏を可能にする手段です。両者を組み合わせることで、攻撃者は一時的な侵入から永続的なアクセスへと移行できます。どちらも横断テクニック(広く使われる攻撃手口)として、多段階攻撃の異なるフェーズで使用されます。

ゼロデイ攻撃のよくある質問

Google Project Zeroの調査によると、年間数十件のゼロデイ脆弱性が実際に悪用されていることが確認されています。ただし、これは発見されたものだけで、実際にはさらに多くのゼロデイ攻撃が水面下で進行している可能性があります。一般的なサイバー攻撃に比べれば件数は少ないですが、影響の大きさは極めて深刻です。

直接の標的になることは少ないですが、間接的な被害を受ける可能性は十分にあります。ゼロデイ攻撃は、広く使われているソフトウェアの脆弱性を悪用するため、そのソフトウェアを使用しているすべてのユーザーが影響を受けます。また、取引先や顧客企業へのゼロデイ攻撃の踏み台として利用されることもあります。

通常のセキュリティソフトでは検知できないため、確認が困難です。異常なネットワークトラフィック、予期しないシステムの動作、新しいアカウントやプロセスの出現、ログの改ざんなどの兆候に注意します。ただし、高度なゼロデイ攻撃は痕跡を残さないため、専門業者による脅威ハンティングが必要です。

セキュリティ研究者による分析、バグバウンティプログラム、開発者自身による発見、攻撃の分析中の発見などがあります。一方、攻撃者が独自に発見して秘密裏に悪用している場合もあります。ダークウェブでは、ゼロデイ脆弱性の情報が数万ドルから数百万ドルで取引されています。

完全に防ぐことは困難ですが、リスクを大幅に減らすことはできます。攻撃対象面の削減、多層防御、異常検知、迅速なパッチ適用などを組み合わせることで、ゼロデイ攻撃を受けても被害を最小限に抑えられます。「完全に防ぐ」ではなく「早期に検知して迅速に対応する」ことが現実的なアプローチです。

脆弱なシステムの使用を一時停止する、インターネットからの接続を遮断する、WAFやIPSで仮想パッチを適用する、アクセス制御を強化する、監視を強化するなどの緊急対策を実施します。ベンダーや政府機関が提供する緊急ガイダンスに従い、パッチが提供されたら最優先で適用します。

まず、自社が使用しているソフトウェアやシステムが影響を受けるか確認します。影響がある場合、ベンダーの推奨する緊急対策を実施し、パッチの提供を待ちます。パッチが提供されたら、テスト環境で動作を確認した後、速やかに本番環境に適用します。インシデント対応チームを待機させ、攻撃の兆候を監視します。

主に国家が支援する高度な攻撃グループ(APT)、組織犯罪グループ、高度な技術を持つハッカー集団などです。ゼロデイ脆弱性の発見と悪用には高度な技術と多額の資金が必要なため、一般的なサイバー犯罪者が使うことは少ないですが、ダークウェブで購入して使用するケースもあります。

ゼロデイ脆弱性は、まだ公表されていない、または修正パッチが提供されていないセキュリティホールのことです。ゼロデイ攻撃は、そのゼロデイ脆弱性を実際に悪用した攻撃のことを指します。脆弱性は「弱点」、攻撃は「悪用行為」という関係です。

はい、機械学習ベースの異常検知システムは、シグネチャに依存せず、通常と異なる振る舞いを検知できるため、ゼロデイ攻撃の兆候を捉える可能性があります。ただし、高度な攻撃は正常な動作を模倣するため、AI単独では不十分です。人間の専門知識とAIを組み合わせた対策が最も効果的です。

2010年に発見された、イランの核施設を標的とした極めて高度なマルウェアです。複数のゼロデイ脆弱性を組み合わせて使用し、産業制御システム(ICS)に侵入して物理的な破壊を引き起こしました。国家が関与する高度なゼロデイ攻撃の代表例として知られています。

ゼロデイ攻撃は防ぎようがないため、攻撃を受けたこと自体で法的責任を問われることは通常ありません。ただし、パッチが提供された後に適用を怠った場合、基本的なセキュリティ対策を実施していなかった場合、個人情報が流出して適切な報告を怠った場合などは、責任を問われる可能性があります。

更新履歴

初稿公開

京都開発研究所

システム開発/サーバ構築・保守/技術研究

CMSの独自開発および各業務管理システム開発を行っており、 10年以上にわたり自社開発CMSにて作成してきた70,000以上のサイトを 自社で管理するサーバに保守管理する。