コラム
ゼロデイ攻撃とは?
攻撃を受けた場合に想定される被害や防ぐ方法を解説
最終更新日:
ゼロデイ攻撃とはソフトウェアやハードウェアに存在する、ベンダーがまだ認識していない、または修正パッチが未提供の脆弱性を悪用したサイバー攻撃です。修正が出る前に攻撃が行われるため、防御が難しい点が特徴です。
ゼロデイ攻撃を受けるとどういった被害が想定されるのでしょうか。この記事ではゼロデイ攻撃を受けた場合の被害のほか、攻撃手法や対策を解説します。
ゼロデイ攻撃とは?
攻撃による被害や対策を知るには、ゼロデイ攻撃の基本的な概要や仕組みを知ることが大切です。ここでは、ゼロデイ攻撃の意味や仕組み、攻撃が増加している背景を解説します。またゼロデイ攻撃の対義語である「Nデイ攻撃」との違いも押さえておきましょう。
ゼロデイ攻撃の意味
ソフトウェアなどで発見された脆弱性(セキュリティホール)を、開発元やシステムベンダーが解消する前に、その脆弱性を狙って行われるサイバー攻撃がゼロデイ攻撃(Zero Day Attack)です。
「ゼロデイ攻撃」という名称は、ベンダーが脆弱性を認識した時点からパッチが公開されるまでの準備期間が「0日」で、利用者が修正対応する猶予がない状態で攻撃されることに由来します。
ゼロデイ攻撃の仕組み
通常、ソフトウェアやハードウェアに脆弱性が発見された場合、開発元が脆弱性に対応した修正プログラムを公開し、ユーザーがソフトウェアに適用します。ゼロデイ攻撃は、脆弱性の発見から開発元が修正プログラムを提供するわずかな期間に、脆弱性を狙った攻撃を仕掛ける仕組みです。このように、ゼロデイ攻撃は開発元やシステムベンダーと、攻撃者とのスピード勝負の側面があるといえます。
また、開発元が認識していない脆弱性が狙われるため、攻撃を検知する既存のセキュリティ対策を回避されるケースも多いのが特徴です。静かに侵入し徐々に活動領域を広げていくため、気付くと被害規模が拡大しているという状況も少なくありません。
ゼロデイ攻撃が増加している背景
ゼロデイ攻撃が増加している主な理由は、インターネットの普及によってシステム環境が多様化したことや、急速な技術革新による脆弱性の増加が挙げられます。
独立行政法人情報処理推進機構セキュリティセンターの「情報セキュリティ10大脅威 2025 組織編」では、ゼロデイ攻撃を含む「システムの脆弱性を突いた攻撃」が第3位となりました。脆弱性を狙った攻撃は、同調査では5年連続8回目のランクインとなっています。
また、ダークウェブ上にはさまざまな脆弱性情報が違法に売買されており、それらが攻撃者の元へ流れ、ゼロデイ攻撃の増加につながっているともいわれています。
Nデイ攻撃との違い
| 攻撃種別 | 脆弱性の状態 | パッチ有無 | 攻撃の特徴 |
|---|---|---|---|
| ゼロデイ攻撃 | 未公開・未認識 | パッチなし | 防御が難しく、検知しづらい |
| Nデイ攻撃 | 公開済み | パッチあり(未適用) | 既知の脆弱性を悪用 |
Nデイ攻撃とは、脆弱性が公開され修正パッチも提供されているにもかかわらず、パッチが未適用のシステムを狙う攻撃です。既知の脆弱性を悪用する点がゼロデイ攻撃と異なります。影響範囲はパッチ適用率に左右され、場合によってはゼロデイ攻撃以上の大規模被害を招くこともあります。
ゼロデイ攻撃の基本的な流れ
ゼロデイ攻撃は、通常のセキュリティ対策の隙を突くように進行します。基本的な攻撃の流れは以下の通りです。
ベンダーが認識していない新たな脆弱性を発見する
開発元がまだ認識していない、ソフトウェアやハードウェア、アプリケーションの脆弱性が発見されることで、攻撃の隙が生まれます。攻撃者は、開発元がその脆弱性を認識し、修正プログラムをユーザーに公開する前に攻撃を行います。
エクスプロイトを開発して攻撃を仕掛ける
「エクスプロイト」とは、脆弱性を利用して有害な動作を行う不正プログラムのことです。攻撃者はエクスプロイトを開発し、発見した脆弱性を狙って攻撃を行います。ユーザーが閲覧するWebページにエクスプロイトを仕込んだり、標的型メールを送信したりと攻撃方法はさまざまです。
機密情報の窃取やマルウェアの拡散を行う
脆弱性を利用してシステム内部に侵入したら、ターゲットをマルウェアに感染させます。感染により、別のマルウェアへの感染や機密情報の漏えいといった被害が発生する恐れがあります。
再侵入できるようバックドアを設置する
攻撃者は、長期的に不正アクセスを継続するため、システム内に「バックドア」と呼ばれる裏口プログラムを設置することがあります。これにより、パッチが適用された後でも侵入を続けられる場合があります。
バックドアが設置されてしまうと、攻撃者はシステム内へ自由に侵入を繰り返すことが可能となります。バックドアによって、長期間不正アクセスを受け続けても被害に気付かないケースが考えられるでしょう。
ゼロデイ攻撃の主な攻撃手法
ゼロデイ攻撃にはさまざまな攻撃方法があります。ここでは、4つの攻撃方法を確認しておきましょう。
マルウェアを添付した不正なメールを送信する
脆弱性を狙った攻撃として、よく使われる手段がメールです。マルウェアを添付したメールを攻撃者がユーザーに送信し、ユーザーがメールの添付ファイルやURLを開くことで、脆弱性を突いたマルウェアに感染します。
こういった不正なメールには、「標的型」と「ばらまき型」があります。標的型は特定の企業をターゲットに、取引先や顧客に偽装したメールを送信するものです。もう1つのばらまき型は、不特定多数をターゲットに大量の不正なメールを送信する方法になります。
ドキュメントファイルに悪意のあるコードを埋め込む
ドキュメントファイルは業務でもよく使用されるため、マルウェアを送り込む手口としても利用されます。この攻撃方法では、文書作成ソフトや表計算ソフトなどのファイルに不正なプログラムがあらかじめ埋め込まれており、ファイルを開くとマルウェアに感染する仕組みです。感染すると、データが盗み出されるうえに、ネットワークを経由して他のデバイスにも感染が拡大する恐れがあります。
前述した不正メールと同様に、標的型とばらまき型の2つの攻撃方法があり、悪意のあるコードが埋め込まれたドキュメントファイルはメールやSNSなどを通して送られてくるのが特徴です。
Webサイトを改ざんして悪質なリンクやファイルを仕込む
Webサイトを改ざんし、サイト内での操作によってマルウェアに感染させる攻撃方法もあります。こういった手口は、改ざんしたWebサイトへ誘導するリンクをメールなどで送信してくるのが特徴です。
ユーザーが特定のWebサイトを閲覧しただけで、ブラウザやプラグインのゼロデイ脆弱性を突かれてマルウェアに感染する「ドライブバイダウンロード攻撃」も報告されています。
正規のWebサイトが改ざんされてしまうと、攻撃を避けるのは難しいでしょう。
VPNの脆弱性を悪用して不正アクセスする
近年では、VPN機器の脆弱性を狙った手口も増加しています。VPNを利用することで安全性の高い通信を行えますが、中には脆弱性が見つかるケースもあり、攻撃者はその脆弱性を悪用し、内部のネットワークに侵入してくるのです。侵入されると、重要なデータへ不正アクセスされる恐れがあります。
ゼロデイ攻撃を受けた場合に想定される被害
ゼロデイ攻撃によって想定される主な被害には、マルウェア感染と不正アクセスがあります。ゼロデイ攻撃を受けてしまっても、迅速に対処できれば被害を抑えられるかもしれません。
マルウェアに感染する
デバイスがマルウェアに感染した際に受ける被害は、機密情報や顧客情報の窃取です。脆弱性に気付かないと、その間に重要なデータの漏えいが続いてしまう恐れがあります。また、ネットワークを経由してマルウェアの感染が取引先や顧客にも広がるケースも考えられるため、注意が必要です。さらに、マルウェアの中にはランサムウェアも含まれており、ランサムウェアに感染するとデータが改ざんされてしまい、多額の身代金を要求される事態になりかねません。
不正アクセスを受ける
脆弱性を放置していると、ゼロデイ攻撃によって不正アクセスの被害を受ける恐れもあります。攻撃者は不正な方法で得たIDやパスワードを使用し、社内システムに侵入してシステムを乗っ取ります。この場合、システムに接続している他のデバイスもマルウェアに感染してしまうケースもあるのです。
マルウェア感染によってシステムやサービスの停止、情報漏えいなどが起きると、企業の社会的信頼が著しく低下してしまうでしょう。社会的信頼が落ちた結果、ビジネスに悪影響を及ぼしかねません。
ゼロデイ攻撃の対処方法
ゼロデイ攻撃を受けた場合、ただちに対象のデバイスをネットワークから遮断することが重要です。なぜなら、ネットワークに接続したままでいると、他のデバイスにも被害が拡大する恐れがあるからです。当該デバイスをネットワークから遮断したらネットワーク管理者に連絡し、発覚の経緯や被害の状況を詳細に伝えて適切に対処しましょう。
ネットワーク管理者に連絡したあとは、セキュリティ対策ソフトでデバイスをスキャンし、攻撃を受けた箇所や攻撃の範囲を特定します。その際、攻撃を受けたデバイスだけでなく、ネットワークに接続していたすべてのデバイスをスキャンすることがポイントです。
ゼロデイ攻撃を防ぐ方法
ゼロデイ攻撃を予測するのは困難です。そのため、事前に適切な対策を取らなければなりません。ここでは、ゼロデイ攻撃を防ぐための対策を4つ解説します。
OSやソフトウェアをアップデートし常に最新の状態に保つ
ゼロデイ攻撃を完全に防ぐことはできないものの、OSやソフトウェアのアップデートを欠かさず常に最新の状態に保ちましょう。自動アップデートや定期的な更新を行い、最新の状態にしておくことで、システムの脆弱性を狙った攻撃を最低限は予防できます。
なお、OSやソフトウェアにはサポートが終了している製品もありますが、そういった製品は修正版が提供されないため使用は避けた方がよいでしょう。
EDRを併用して未知のマルウェアなどの脅威に対応
ウイルス対策ソフトを導入することで、サイバー攻撃へ幅広く対処できます。日々のセキュリティ管理においても、ウイルス対策ソフトの導入は重要です。
ただし、ゼロデイ攻撃は従来型のウイルス対策ソフトだけでは検知が難しいため、EDR(Endpoint Detection and Response)や、サンドボックスによる未知のファイル分析、次世代ファイアウォール(NGFW)や侵入防止システム(IPS)を組み合わせた多層防御が重要です。
EDRとは、デバイスを監視・保護を行うセキュリティソリューションです。ウイルス対策ソフトとは異なり、システム上で動作するプログラムの動きを分析します。
ネットワークセキュリティ製品を導入する
ネットワークセキュリティを導入できれば、ゼロデイ攻撃を受けるリスクの軽減が可能です。ネットワークセキュリティには、許可していないデータ通信を遮断するファイアウォールの設置などがあります。
定期的に脆弱性診断を実施する
脆弱性診断とは、OSなどの脆弱性をチェックしてセキュリティの状態を確認する作業です。脆弱性診断は基本的に、アプリケーション診断とプラットフォーム診断に分けられます。
脆弱性をチェックするには、診断サービスの利用が一般的です。脆弱性診断サービスには、安価で導入できる「ツール診断」と、エンジニアが精度の高い診断を行う「手動診断」があります。
これらの定期的な脆弱性診断に加えて、発見された脆弱性には迅速にパッチを適用する運用体制が不可欠です。パッチ提供が間に合わない場合は、IPS や WAF による仮想パッチで一時的に防御できます。さらに、外部の脅威インテリジェンスを活用し、ゼロデイ脆弱性に関する最新情報を収集することで、攻撃発生前に防御策を整えることが可能です。
総合セキュリティ対策なら
パロアルトネットワークス
脆弱性を狙うゼロデイ攻撃を防ぐには、適切なセキュリティ対策が重要です。セキュリティ対策を講じる際は、信頼できる製品を取り扱うベンダーに相談しましょう。
パロアルトネットワークスは、世界中の多様な組織のサイバーセキュリティパートナーとして信頼と実績を重ねています。総合セキュリティ対策を検討中の企業様は、ぜひパロアルトネットワークスまでお気軽にご相談ください。
まとめ
近年は、システム環境の多様化や急速な技術革新により、OSやソフトウェアなどの脆弱性が増加しています。その脆弱性を狙ったゼロデイ攻撃を受けてしまうと、マルウェアに感染したり不正アクセスされたりといった被害が発生するでしょう。
ゼロデイ攻撃を最低限予防するためにも、OSやソフトウェアは常に最新の状態にアップデートし、セキュリティ対策ソフトを導入することが大切です。
この記事の執筆者
