「セキュリティパッチは毎月適用している」「ウイルス対策ソフトも最新にしている」――それでも防げない攻撃があります。ソフトウェアの脆弱性が発見されてから修正パッチが提供されるまでの空白期間を狙う攻撃、それがゼロデイ攻撃です。
ゼロデイ攻撃は、防御側が対処する時間が「0日(ゼロデイ)」であることからその名がついています。IPAの「情報セキュリティ10大脅威 2025」でも組織向け脅威として上位に位置付けられており、中小企業を含むあらゆる組織が知っておくべき脅威の一つです。
この記事では、ゼロデイ攻撃の仕組み・攻撃が成立する条件・組織として取るべき防御策について、中小企業の情シス担当でも実践できるレベルで解説します。
ゼロデイ攻撃とは?なぜ通常の対策では防げないのか
ゼロデイ攻撃(Zero-day Attack)とは、ソフトウェアやハードウェアに存在する未知の脆弱性(ゼロデイ脆弱性)を悪用する攻撃のことです。「ゼロデイ」とは、開発元がその脆弱性を認知してから修正パッチを公開するまでの猶予期間が「0日」であることを意味しています。
通常のサイバー攻撃と何が違うのか。一般的な攻撃は、すでに公開されている脆弱性情報(CVEなど)を悪用します。この場合、パッチを適用していれば攻撃を防げます。しかしゼロデイ攻撃は、パッチがまだ存在しない段階で攻撃が行われるため、「パッチを当てて防ぐ」という最も基本的な対策が通用しません。
ゼロデイ攻撃が深刻な脅威である理由は主に3つあります。
・修正手段がない状態で攻撃される: 脆弱性の存在自体が知られていないか、知られていてもパッチが未提供のため、防御側は根本的な修正ができない
・従来型のセキュリティ製品で検知しにくい: シグネチャ(既知の攻撃パターン)ベースのウイルス対策ソフトやIDS/IPSでは、未知の攻撃パターンを検知できないことが多い
・発見から修正までの期間が攻撃者の「狩り場」になる: 脆弱性が発見されてからパッチが提供されるまで、平均で数日から数週間。この期間中、攻撃者は自由に攻撃を仕掛けられる
ゼロデイ攻撃の仕組み ― 攻撃はどのように成立するのか
ゼロデイ攻撃がどのように行われるかを段階的に理解しておくことが、防御の第一歩です。
1. 脆弱性の発見
攻撃者(またはセキュリティ研究者)が、ソフトウェアのコードやプロトコルに未知の脆弱性を発見します。この脆弱性がソフトウェアの開発元に報告されれば、修正パッチが作成されます。しかし、攻撃者が発見した場合は報告せず、自ら悪用するか、ダークウェブ上のブローカーに売却するケースがあります。
ゼロデイ脆弱性の闇市場での取引価格は、対象ソフトウェアの利用者数や影響範囲によって異なりますが、数百万円から数億円に達することもあるとされています。
2. エクスプロイトの開発
発見された脆弱性を実際に攻撃に利用するための手順やツール(エクスプロイト)が開発されます。エクスプロイトは、メールの添付ファイル、Webサイトへのアクセス、ネットワーク経由の通信など、さまざまな攻撃経路に組み込まれます。
3. 攻撃の実行
攻撃者は開発したエクスプロイトを使って、標的の組織やシステムに攻撃を仕掛けます。代表的な攻撃経路は以下のとおりです。
・スピアフィッシングメール: 標的型メールに細工した添付ファイル(PDF・Office文書等)を添付し、開封時にゼロデイ脆弱性を悪用してマルウェアを実行する
・水飲み場攻撃: ターゲットが日常的に閲覧するWebサイトを改ざんし、アクセスしただけでマルウェアに感染させる
・サプライチェーン経由: ソフトウェアのアップデート機能や正規のライブラリに悪意のあるコードを混入し、正規の更新として配布する
4. 脆弱性の公開とパッチ提供
攻撃が検知されるか、セキュリティ研究者が脆弱性を報告することで、開発元が修正パッチを作成・公開します。パッチが公開されると「ゼロデイ」ではなくなりますが、パッチ適用が遅れた組織は引き続き攻撃を受ける可能性があります。
以下は、脆弱性の発見から攻撃・修正までの時間的な関係を示したものです。
| 段階 | 内容 | 防御側の状況 |
|---|---|---|
| 脆弱性の発見 | 攻撃者または研究者が脆弱性を発見 | 存在を認知できていない |
| エクスプロイト開発 | 脆弱性を悪用するコードが作成される | 防御手段なし |
| 攻撃の実行(ゼロデイ期間) | パッチ未提供のまま攻撃が行われる | 検知困難・根本対策なし |
| 脆弱性の公開・パッチ提供 | 開発元が修正パッチをリリース | パッチ適用で対処可能に |
| パッチ適用完了 | 各組織でパッチを適用 | 脆弱性が解消される |
具体的な防御策 ― ゼロデイ攻撃のリスクを下げるために
ゼロデイ攻撃を完全に防ぐことは、パッチが存在しない以上、原理的に困難です。しかし、攻撃が成功する確率を大幅に下げること、被害を最小限に抑えることは可能です。
1. 多層防御(Defense in Depth)を構築する
単一の防御策に頼らず、複数のセキュリティ対策を重ねることで、ゼロデイ攻撃が1つの防御層を突破しても次の層で食い止められるようにします。
・ネットワーク層: ファイアウォール、IPS、ネットワーク分離で通信を制御する
・エンドポイント層: EDR(Endpoint Detection and Response)で端末上の不審な挙動を検知する
・アプリケーション層: WAF(Web Application Firewall)でWebアプリケーションへの攻撃を遮断する
・認証層: 多要素認証(MFA)で、仮に認証情報が漏洩しても不正アクセスを防ぐ
2. 振る舞い検知型のセキュリティ製品を導入する
シグネチャベースの検知では、未知の攻撃パターンを捉えられません。振る舞い検知型(ビヘイビア型)のセキュリティ製品は、プログラムの動作そのものを監視し、通常とは異なる挙動を検知します。
# 振る舞い検知が捉える不審な挙動の例 # - Officeファイルがシェルを起動している # - 通常アクセスしない外部サーバーへの大量通信 # - 短時間での大量のファイルアクセス(ランサムウェアの兆候) # - 管理者権限への不正な昇格試行
EDR製品はまさにこの考え方で設計されており、「既知のマルウェアかどうか」ではなく「その挙動が正常かどうか」で判断します。ゼロデイ攻撃への対策として、EDRの導入は有効な選択肢の一つです。
3. 最小権限の原則を徹底する
各ユーザーやシステムに、業務に必要な最小限の権限だけを付与します。仮にゼロデイ攻撃でシステムに侵入されても、攻撃者が操作できる範囲を限定することで被害を局所化できます。
# Linuxでの最小権限設定の例 # 一般ユーザーにはsudo権限を安易に付与しない # visudoで必要なコマンドのみ許可する username ALL=(ALL) /usr/bin/systemctl restart httpd, /usr/bin/systemctl status httpd
Windowsの場合も、日常業務に管理者権限は不要です。管理者アカウントと通常業務アカウントを分離することで、ゼロデイ攻撃によるマルウェアが管理者権限で実行されるリスクを低減できます。
4. ネットワークセグメンテーションを実施する
社内ネットワークを業務単位や重要度別に分割し、セグメント間の通信を制限します。攻撃者がゼロデイ脆弱性を使って1台の端末に侵入しても、ネットワーク全体への横展開(ラテラルムーブメント)を防ぐことができます。
・VLANで部門ごとにネットワークを分離する
・重要なサーバー群(データベース・ファイルサーバー等)は独立したセグメントに配置する
・セグメント間の通信はファイアウォールで必要最小限に制限する
5. パッチ管理体制を整備しておく
ゼロデイ攻撃そのものはパッチで防げませんが、パッチが公開された瞬間に迅速に適用できる体制を整えておくことで、「ゼロデイ期間」の終了後も攻撃を受け続けるリスクを排除できます。
・影響範囲の事前把握: 自社で使用しているソフトウェア・バージョンの一覧(SBOM: Software Bill of Materials)を管理する
・緊急パッチの適用フロー: 通常の変更管理プロセスとは別に、緊急パッチ用の即時適用フローを用意する
・脆弱性情報の収集: JVN(Japan Vulnerability Notes)やCISA(米国サイバーセキュリティ庁)のアラートを定期的に確認する
中小企業でも今日からできること
「EDRを導入する予算がない」「ネットワーク分離なんて大企業の話」と感じるかもしれません。しかし、ゼロデイ攻撃のリスクを下げるために、費用をかけずにできることは確実にあります。
| 対策 | 内容 | コスト |
|---|---|---|
| 自動更新の有効化 | OS・ブラウザ・Office等の自動更新を有効にし、パッチ公開後すぐに適用される状態を維持する | 無料 |
| 不要なソフトウェアの削除 | 使っていないアプリケーションやプラグインを削除する。存在しないソフトウェアの脆弱性は悪用できない | 無料 |
| 管理者権限の日常使用をやめる | PCの日常業務は標準ユーザーで行い、管理者権限が必要な操作だけ別途昇格する | 無料 |
| 添付ファイルの取り扱いルール | 不審なメールの添付ファイルは開かない。マクロの自動実行を無効にする | 無料 |
| ブラウザのセキュリティ設定 | 不要なブラウザ拡張機能を削除し、Flashなどの非推奨プラグインを無効化する | 無料 |
| Windows Defenderの活用 | Windows 10/11標準のDefenderは振る舞い検知機能を備えており、追加費用なしで一定の防御が可能 | 無料 |
特に効果が高いのは「不要なソフトウェアの削除」です。攻撃面(アタックサーフェス)を物理的に減らすことは、ゼロデイ攻撃に限らずあらゆるサイバー攻撃への基本的な防御になります。
よくある誤解と注意点
【注意】「最新パッチを適用していれば安全」ではない
パッチの適用は極めて重要ですが、ゼロデイ攻撃は定義上「パッチが存在しない脆弱性」を狙います。パッチ管理を徹底していても、ゼロデイ期間中は防御できません。パッチ管理は「既知の脆弱性への対策」であり、ゼロデイ攻撃への対策は多層防御と振る舞い検知を組み合わせる必要があります。
【注意】ゼロデイ攻撃は大企業だけの問題ではない
「ゼロデイ攻撃は高度な攻撃だから、中小企業は狙われない」という認識は誤りです。攻撃者がサプライチェーンの一環として中小企業を踏み台にするケースや、広く使われているソフトウェア(ブラウザ、メールクライアント、VPN機器等)のゼロデイ脆弱性が無差別に悪用されるケースでは、企業規模に関係なく被害を受けます。
【注意】「ゼロデイ」と「パッチ未適用」は別の問題
パッチがすでに公開されているのに適用していない状態は「パッチ未適用の既知脆弱性」であり、ゼロデイとは異なります。実際のサイバー攻撃の多くは、パッチが提供済みの既知脆弱性を悪用したものです。ゼロデイ対策に気を取られる前に、まず既知脆弱性のパッチ適用を徹底することが先決です。
本記事のまとめ
ゼロデイ攻撃は、未知の脆弱性を悪用するため、パッチ適用という最も基本的な防御策が通用しない深刻な脅威です。しかし、多層防御・振る舞い検知・最小権限の原則・ネットワーク分離といった対策を組み合わせることで、攻撃の成功確率を大幅に下げ、被害を最小限に抑えることができます。
まず取り組むべきは、不要なソフトウェアの削除によるアタックサーフェスの縮小と、パッチ公開時の迅速な適用体制の整備です。「完全に防ぐ」のではなく「攻撃されても被害を最小化する」という発想で備えることが、ゼロデイ攻撃への現実的な対策です。
| 防御策 | 効果 | 優先度 |
|---|---|---|
| 多層防御の構築 | 1つの防御層が突破されても次の層で攻撃を食い止める | 最優先 |
| 振る舞い検知型セキュリティ(EDR等) | 未知の攻撃パターンを挙動ベースで検知する | 最優先 |
| 最小権限の原則 | 侵入後の被害範囲を限定する | 高 |
| ネットワークセグメンテーション | 横展開(ラテラルムーブメント)を防ぐ | 高 |
| 迅速なパッチ適用体制 | ゼロデイ期間終了後の被害継続を防ぐ | 高 |
ファイアウォールやIDS/IPSの仕組みについては、本サイトの「ファイアウォールとは?」や「IDS・IPSとは?」の記事で詳しく解説しています。多要素認証(MFA)の導入方法については「多要素認証(MFA)とは?」の記事もあわせてご覧ください。
Linuxサーバーの権限管理やアクセス制御の詳細については、姉妹サイトLinuxMaster.JPで詳しく解説しています。
ゼロデイ攻撃に備える「多層防御」、正しく構築できていますか?
パッチだけでは防げない脅威に備えるには、セキュリティの基礎知識を体系的に理解することが不可欠です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント