ゼロデイ攻撃とは

ゼロデイ攻撃 (Zero-Day Attack) とは、ソフトウェアの脆弱性が発見されてから、開発元がパッチ (修正プログラム) を提供するまでの「0 日」の間に、その脆弱性を悪用する攻撃です。パッチが存在しないため、従来のパッチ適用による防御が効きません。

ゼロデイ脆弱性は闇市場で高額で取引されており、iOS の遠隔コード実行の脆弱性は数百万ドルの値がつくこともあります。国家レベルのサイバー攻撃や高度な標的型攻撃 (APT) で使用されることが多く、一般的なサイバー犯罪よりも深刻な脅威です。

脆弱性管理の観点では、ゼロデイは「既知の脆弱性」とは異なるカテゴリの脅威であり、別のアプローチが必要です。

ゼロデイ攻撃のライフサイクル

発見から攻撃までの期間が「0 日」であることが名前の由来ですが、実際には脆弱性が発見されてから数か月間、密かに悪用され続けるケースもあります。

Log4Shell (2021 年): Java のログライブラリ Log4j に発見された脆弱性 (CVE-2021-44228)。世界中の数億台のサーバーに影響し、公開後 24 時間以内に大規模な攻撃が開始された。サプライチェーンの依存関係の深さが被害を拡大させた。
Microsoft Exchange Server (2021 年): 中国系の攻撃グループが 4 つのゼロデイ脆弱性を組み合わせて攻撃。パッチ提供前に数万の組織が侵害された。
Stuxnet (2010 年): Windows の複数のゼロデイ脆弱性を悪用し、イランの核施設の遠心分離機を破壊した国家レベルのサイバー兵器。ゼロデイ攻撃の脅威を世界に知らしめた事例。

これらの事例が示すように、ゼロデイ攻撃は個人から国家インフラまで、あらゆるレベルに影響を及ぼします。

パッチが存在しない攻撃に対しては、多層防御 (Defense in Depth) のアプローチが不可欠です。

WAF の活用: Web アプリケーションファイアウォールは、既知の攻撃パターンだけでなく、異常なリクエストパターンを検知してブロックできる。ゼロデイ攻撃の一部を緩和する効果がある。
ネットワークセグメンテーション: 侵害された場合の被害範囲を限定する。重要なシステムを隔離し、横方向の移動 (ラテラルムーブメント) を困難にする。
最小権限の原則: ユーザーやプロセスに必要最小限の権限だけを付与する。脆弱性が悪用されても、攻撃者が得られる権限を制限できる。
EDR (Endpoint Detection and Response): エンドポイントの挙動を監視し、異常な動作 (未知のプロセスの起動、不審なネットワーク通信) を検知する。シグネチャベースのアンチウイルスでは検知できないゼロデイ攻撃に対して有効。
ペネトレーションテスト: 定期的に自組織のシステムを攻撃者の視点でテストし、潜在的な脆弱性を発見する。
インシデント対応計画の整備: ゼロデイ攻撃を完全に防ぐことは不可能なため、侵害を前提とした検知・対応・復旧の計画を事前に準備する。

ゼロデイ攻撃は一般人には関係ない: ゼロデイ脆弱性がブラウザや OS に存在する場合、一般ユーザーも被害を受けます。Log4Shell のように広く使われるライブラリの脆弱性は、利用しているサービスを通じて間接的に影響を受ける可能性があります。
アンチウイルスソフトがあればゼロデイ攻撃を防げる: 従来のアンチウイルスソフトはシグネチャ (既知のマルウェアのパターン) に基づいて検知するため、未知の攻撃には対応できません。振る舞い検知やサンドボックス機能を持つ次世代型の EDR が必要です。