ゼロデイ攻撃とは？ 仕組みや見逃しやすい理由・企業に必要な対策など

「ゼロデイ攻撃」は、個人情報の漏えいやシステムの乗っ取りなどの被害をもたらす危険度の高いサイバー攻撃として有名です。しかし、ゼロデイ攻撃に対して詳しいことはわからない、という方は多いのではないでしょうか。
この記事では、ゼロデイ攻撃の特徴や仕組み、危険性、もたらされる被害、発見・検知されにくい理由と併せて、脅威から企業を守るために取り入れたい対策などについて解説します。

1. ゼロデイ攻撃の特徴
2. ゼロデイ攻撃の仕組み
3. ゼロデイ攻撃の危険性
4. ゼロデイ攻撃の被害
5. ゼロデイ攻撃が発見・検知されにくい理由
6. 企業に必要なゼロデイ攻撃対策
7. ゼロデイ攻撃とゼロデイ脆弱性の違い
8. ゼロデイ攻撃の脅威を正しく理解し、事前対策を徹底しましょう

ゼロデイ攻撃の特徴

ゼロデイ攻撃とは、OSやアプリケーションなどのソフトウェアに新たな脆弱性（セキュリティホール）が発見されたときに、ベンダーによって修正プログラム（パッチ）が提供される前のタイミングで行われるサイバー攻撃を指します。英語では「Zero-day Attack」と呼ばれます。修正プログラムが公開されて対策が取られた日をワンデイ（1日目）とした場合、それより前の日をゼロデイ（0日目）と捉えて表現しています。
また修正プログラムが提供される前の、ソフトウェアの欠陥・不具合のことをゼロデイ脆弱性と呼びます。ゼロデイ脆弱性はまだ対策が施されていない無防備な状態の脆弱性です。

ゼロデイ攻撃の仕組み

ソフトウェアの脆弱性は、一般的に次のような流れで対策が取られます。

1. 脆弱性が見つかる
2. ベンダーが修正プログラムを作る
3. 修正プログラムが配布され、ユーザーがパッチを適用する

しかし、上記の1から3の間には必ずタイムラグが生じます。場合によっては修正プログラムを作るのが難しく、そのタイムラグが長引くケースもあります。
もしも、最初にゼロデイ脆弱性を見つけたのがベンダー、セキュリティ会社、ユーザーなどではなく、攻撃者だった場合、攻撃者はまったく無防備なソフトウェアに対して先手を打って好き勝手に攻撃することができます。あるいは、脆弱性が発覚して多くの人が知ることになった段階でも、2から3の間、修正プログラムが作られて配布されるまでに時間がかかれば、やはりその間にゼロデイ攻撃が行われる可能性があります。

ゼロデイ攻撃の危険性

ゼロデイ攻撃が危険なのは、攻撃を防御することが難しいだけでなく、攻撃を受けているという事実を検知すること自体が難しいケースがあるためです。
特に最初に脆弱性を見つけたのが攻撃者というケースでは、ベンダーなどが脆弱性に気づいたときにはすでに大きな被害が出たあとだったということになりかねません。ベンダーも知らない「未知の脆弱性」があり、その最も危険な状態のゼロデイ脆弱性に対して作成された「未知のマルウェア」による攻撃が実行されると、ユーザーが取り得る防御手段は何もなく、対応が後手に回ってしまいます。
そのため、従来のアンチウイルスソフトやパターンマッチング型のセキュリティ対策では検知が難しく、攻撃の成功率が非常に高い点が特徴です。また、攻撃には過去に検知されていない新種のマルウェアが使われることが多く、ユーザーや企業が有効な防御策を講じる前に被害が拡大するリスクが高まります。

ゼロデイ攻撃の被害

ゼロデイ攻撃による被害にはさまざまなものがあります。過去の事例では、アプリケーションを使用したユーザーのPCがマルウェアに感染する、PCやシステムを不正にコントロールされる、PC内に保存されているローカルファイルを盗み出される、サーバーのメモリ内にあるパスワードや暗号鍵などが閲覧されて個人情報が流出するといった被害がありました。
その多くは不特定多数を狙った「ばらまき型」の攻撃ですが、中には特定の企業や組織のシステムに狙いを定めた「標的型攻撃」もあります。標的型攻撃では企業が保管している個人情報や機密情報が窃取される危険性があります。また、ランサムウェアを仕掛けられてシステムへのアクセスが制限され、その制限を解除するための身代金を支払うよう要求されるケースも考えられます。

ゼロデイ攻撃が発見・検知されにくい理由

ゼロデイ攻撃は、脆弱性が公表される前に悪用されるため、従来の防御手段では対応が困難です。主要な要因と具体的な理由について見ていきましょう。

ログに痕跡が残りにくい、不正が巧妙な点

攻撃者は侵入痕跡を意図的に隠蔽する高度な手法を用いるため、システム監査で異常を検知しにくい特徴があります。また、通信パターンを暗号化したり正常なトラフィックに偽装したりするステルス性に加え、侵害後のログ改ざんや削除により攻撃経路を隠蔽します。さらに、低頻度での持続的攻撃を行うため、長期間潜伏しても発覚リスクが低くなってしまうのです。

マルウェアが未知であり、シグネチャ型検知では対応不能

未知のマルウェアは既存検知データベースに存在せず、シグネチャ依存型セキュリティツールでは防御が難しいでしょう。攻撃コードが未登録であることに加え、ポリモーフィズムやメタモーフィズムによってマルウェアは都度変異し、静的なパターンマッチングが無効化されます。挙動検知機能のないツールでは、未知の動作パターンを識別できない根本的な限界があります。

脆弱性の存在自体が広く知られていない

脆弱性がベンダーや一般に認知される前の「ゼロデイ期間」を攻撃者が悪用する点が本質的な課題です。攻撃者は非公開脆弱性を独自に発見・秘匿し、パッチ提供前の無防備状態を狙います。脆弱性の報告からパッチの提供までには時間がかかり、その間は無防備な状態が継続します。非公開の脆弱性情報はダークウェブで取引されているといわれており、防御側の事前対策が難しくなっているのです。

攻撃が標的型で限定的、発覚まで時間がかかる

特定組織を狙う標的型攻撃は影響範囲が狭く、異常が表面化しにくい特性があります。限定された対象への攻撃では、不審通信が少ない点が特徴です。初期侵入後は、権限昇格や内部偵察を数カ月かけて実行するため、単発のイベントとして検知されません。情報窃取など直接的な被害がすぐに発生せず、攻撃終了後に初めて異常が判明するケースも多くなっています。

企業に必要なゼロデイ攻撃対策

では、このようなゼロデイ攻撃を防ぐ方法はあるのでしょうか？ 各種ソフトウェアを常に最新の状態にしておくことは非常に重要です。これだけではゼロデイ攻撃を完全に防ぐ方法とはなりませんが、少なくとも修正プログラムを迅速かつ確実に適用しておくことは大前提となります。加えて、アンチウイルスソフトのパターンファイルも最新の状態に保っておきましょう。
ほかには、ゼロデイ攻撃に対応したセキュリティソフトの導入も検討しましょう。例えば既知のマルウェアだけでなく、「不正な動作」を感知して未知のマルウェアにも対応できることを謳ったセキュリティソフトが存在します。また、既知のマルウェアを検出して駆除するブラックリスト方式のアンチウイルスソフトではなく、すでに安全性が確立されているソフトウェアのみを登録してそれ以外は実行禁止にするホワイトリスト方式のセキュリティソフトというのもあります。
また、「サンドボックス」を使用する方法も効果が期待できます。サンドボックスはPC内の隔離された場所に作られた「攻撃を受けても良い領域」のことで、マルウェアの感染をこの領域内に誘い込むことで、被害を受けないまま、マルウェアの挙動を観察することができます。
さらに、ネットワーク経由での攻撃を回避するため、不正アクセスを検知する「IDS（Intrusion Detection System）」や不正アクセスを防止する「IPS（Intrusion Prevention System）」を導入する方法も考えられます。加えて、端末上の不審な挙動を常時監視し、感染後の対応まで自動化できる「EDR（Endpoint Detection and Response）」の導入も有効です。
EDRについては以下の記事で詳しく解説しています。ぜひご一読ください。
「EDRとは？ EPPやXDRとの違いも解説」

ゼロデイ攻撃とゼロデイ脆弱性の違い

ゼロデイ脆弱性は、ソフトウェアやシステムに存在する未知のセキュリティ欠陥そのものを指します。ベンダーがその存在を認識しておらず、修正パッチが提供されていない状態です。これは潜在的な脅威であり、攻撃に悪用される可能性がある「弱点」そのものです。
一方、ゼロデイ攻撃は、この脆弱性を実際に悪用して行われるサイバー攻撃を意味します。両者の違いは、脆弱性が「静的な欠陥」であるのに対し、攻撃は「動的な悪用行為」である点です。脆弱性が存在しても攻撃が実行されなければ被害は発生しませんが、両者が組み合わさることで深刻なセキュリティインシデントが生じます。

ゼロデイ攻撃の脅威を正しく理解し、事前対策を徹底しましょう

ゼロデイ攻撃は、ソフトウェアの未知の脆弱性（ゼロデイ脆弱性）をパッチ提供前に悪用するサイバー攻撃です。防御や検知が難しく、個人情報漏えいやシステム乗っ取りなどの深刻な被害をもたらします。検知されにくい主な理由は、攻撃痕跡の巧妙な隠蔽、未知のマルウェアによるシグネチャ検知の無効化、脆弱性情報の非公開、標的型攻撃の潜伏性の4点に集約されます。
ゼロデイ攻撃を防御するには、ソフトウェアの迅速な更新に加え、挙動検知機能を備えたセキュリティツールの導入やサンドボックス技術の活用が有効です。これらの対策は単体で実施するのではなく、多層的に実施することが求められます。
重大な被害を受けてしまう前に、ゼロデイ攻撃を想定したセキュリティ対策状況を今一度見直してみてはいかがでしょうか。
ゼロデイ攻撃として有効な「標的型攻撃対策ソリューション」をご提供しています。OSに害のある不正な動作をさせない仕組みで、ゼロデイ攻撃から情報を守ることができます。また、EDRの活用をご検討の場合は、防御・検知から復旧まで自動対応可能なマルウェア対策「SentinelOne」や高度化するマルウェアやサイバー攻撃から企業を守る「CrowdStrike」もおすすめです。ぜひ導入をご検討ください。