本記事では、ゼロデイ攻撃の仕組みや被害事例、被害を最小限に抑えるための現実的な対策に至るまで、わかりやすく解説します。
ゼロデイ攻撃とは? 修正パッチがない「空白」を狙う手口
「ゼロデイ」という名前の由来は、脆弱性が発見されてから対策(パッチ)が公開されるまでの日数が「0日」であることを意味します。攻撃者はこの「防御の隙」を突き、パッチが存在しない状態で攻撃を成立させます。以下で、ゼロデイ攻撃の定義と仕組みを最新データとともに解説します。
定義:脆弱性発見から修正プログラム公開までの「空白の期間」
ゼロデイ攻撃とは、ソフトウェアに脆弱性が発見され、開発ベンダーが修正プログラム(パッチ)を提供する前の「空白の期間(ゼロデイ期間)」に行われるサイバー攻撃のことです。この期間、ユーザー企業は脆弱性に対して無防備な状態となるため、攻撃者は防御の隙を突いて容易に侵入することができます。
国内トレンド:脆弱性を突く攻撃の急増とリスクの常態化
IPAが発表した「情報セキュリティ10大脅威 2025[組織]」において、「システムの脆弱性を突いた攻撃」は、前年の5位から3位へとランクアップしました。このカテゴリには、ゼロデイ攻撃だけでなく、修正パッチが公開された直後を狙う「Nデイ攻撃」も含まれます。しかし、ゼロデイ攻撃の深刻さは依然として高く、国内外でPalo Alto Networks(PAN-OS)などの広く利用されている製品の脆弱性を悪用したゼロデイ攻撃の事例が報告されています。
情報セキュリティ10大脅威 2025 [組織]
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
出典:IPA「情報セキュリティ10大脅威 2025 [組織]」を基に作成
https://www.ipa.go.jp/security/10threats/10threats2025.html
攻撃のフロー:脆弱性の発見・売買からエクスプロイトの実行まで
ゼロデイ攻撃は、修正パッチが公開される前の「空白の期間」に行われるため、防御が極めて困難となります。その攻撃プロセスは、一般的に以下のような流れで進行します。
- 脆弱性の発見と入手: 攻撃者は、ソフトウェアの未知の脆弱性を独自に発見するか、ダークウェブなどのアンダーグラウンドマーケットで売買されている脆弱性情報を入手します。
- エクスプロイトの作成・入手: 攻撃者は、脆弱性を悪用するための攻撃コード(エクスプロイト)を作成または入手します。ダークウェブでは攻撃ツールも流通しており、攻撃のハードルが下がっています。
- 攻撃の実行: ターゲット企業のシステムにエクスプロイトを送り込み、不正アクセスやマルウェア感染などを実行します。
近年は侵入後のラテラルムーブメントと権限昇格を自動化するツール連携が進み、初期侵入の成功が事業停止リスクへ直結しやすい構図になっています。
企業を震え上がらせる脅威とリスク
既存のアンチウイルス(シグネチャ型)では検知不可能
従来のアンチウイルスソフトは、既知のマルウェアの特徴(シグネチャ)をデータベース化し、それと照合することで脅威を検知します。しかし、ゼロデイ攻撃で使用されるエクスプロイトやマルウェアは「未知」のものであるため、シグネチャが存在しません。そのため、従来のアンチウイルスソフトでは検知することができず、すり抜けられてしまうリスクがあります。
防御手段が存在しない「無防備な状態」での攻撃
ゼロデイ攻撃の最大の特徴は、修正パッチが存在しない「無防備な状態」で攻撃が行われることです。企業は脆弱性を認識していても、ベンダーからパッチが提供されるまでは根本的な対策を打つことができません。この「空白の期間」は、攻撃者にとって絶好の機会であり、企業にとってはリスクが最大化する期間となります。
標的型攻撃(APT)の突破口として悪用されるリスク
ゼロデイ攻撃は、特定の企業や組織を執拗に狙う「標的型攻撃(APT)」において、最初の突破口(初期侵入)として悪用されるケースが増加しています。その典型的な攻撃の流れは以下の通りです。
- 初期侵入(Initial Access): 攻撃者は、ターゲット企業のシステムに存在する「未知の脆弱性」を突き、ネットワーク内部への侵入を果たします。
- 内部での横展開(ラテラルムーブメント): 一度侵入に成功すると、攻撃者はネットワーク内で感染範囲を拡大し、より重要なシステムやデータへのアクセスを試みます。
- 深刻な被害の発生: 最終的には、機密情報の窃取やランサムウェアの展開など、企業の存続に関わる深刻な被害をもたらす活動へと移行します。
関連記事:標的型攻撃とは?狙われやすい企業の特徴と対策|APT・侵入経路・多層防御を解説
被害額・復旧期間の実態と法的リスク
ゼロデイ攻撃による被害は甚大です。情報漏洩やシステム停止による直接的な損失だけでなく、復旧にかかる費用、事業停止による機会損失、ブランドイメージの低下など、間接的な被害も計り知れません。さらに、サプライチェーン全体への波及が生じると、自社の損害に留まらない社会的影響へ発展します。
また、個人情報保護法の改正により、個人データの漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。ゼロデイ攻撃によって個人情報が漏洩した場合、企業は法的責任を問われる可能性もあり、「事業損失」と「法的対応コスト」のダブルパンチとなるリスクがあります。
ゼロデイ攻撃被害を最小限に抑える「多層防御」のアプローチ
パッチがない以上、侵入を100%防ぐことは不可能です。しかし、「侵入されること」を前提とした多層防御を構築することで、被害を最小限に抑えることは可能です。予防・検知・対応の各フェーズでの緩和策を解説します。
予防(緩和)
- アタックサーフェス管理(ASM): 自社システムの外部公開状況を可視化し、不要なポートやサービスを停止することで攻撃の糸口を減らします。
- ネットワーク分離: ネットワークを分割し、重要システムを隔離します。これにより、一部が侵害されても被害の拡大を防ぎます。
検知(振る舞い)
「不審な動き(振る舞い)」を検知するEDR(Endpoint Detection and Response)は、ゼロデイ攻撃に対抗するための有効な手段です。例えば、「通常はアクセスしないファイルにアクセスしている」「大量のデータを外部に送信している」といった異常な挙動を検知し、管理者に通知します。これにより、未知の脅威であっても早期に発見し、対応することが可能になります。
関連記事:今さら聞けない「EDR」とは?基本的な役割と導入後の運用課題をわかりやすく解説
対応(即時性)
- 回避策(Workaround)の適用: 修正パッチが提供されるまでの間、脆弱性のある機能を無効化するなどの暫定的な対策を行い、影響を緩和します。
- 仮想パッチ: WAFやIPSを用いて攻撃パケットをネットワークレベルで遮断し、システムにパッチを適用することなく擬似的に脆弱性を塞ぎます。
ゼロトラストモデルの導入と権限管理の強化
「内部ネットワークは安全」という前提を捨て、すべてのアクセスを疑い、検証する「ゼロトラストモデル」の導入も有効です。ユーザーやデバイスの認証を強化し、アクセス権限を必要最小限に絞ることで、万が一侵入を許しても被害を最小限に抑えることができます。特に、特権IDの管理を厳格化することは、攻撃者によるシステム全体の掌握を防ぐ上で重要です。
未知の脅威に対抗する現実解:SOCとMDRの活用
ゼロデイ攻撃のような高度な脅威に対し、自社リソースだけで24時間365日対応し続けるのは限界があります。専門家の知見を活用し、未知の脅威を早期に発見・対処するSOC/MDRの重要性を解説します。「夜間・休日」「大型連休前後」など人的監視の盲点を狙う傾向があるため、継続監視は必須要件です。
最新の脅威インテリジェンスで「未知」を「既知」に近づける
SOC(Security Operation Center)は、世界中から収集したセキュリティ情報を分析し、最新の脅威インテリジェンスとして蓄積しています。
- インテリジェンスの活用: ゼロデイ攻撃の予兆となる攻撃者の活動や、類似の攻撃手法に関する情報を早期に入手し、対策に役立てることが可能です。
- 検知・対応精度の向上: 「未知」の脅威を完全に「既知」にすることは難しくても、それに近い状態へと近づけることで、検知と対応の精度を高めることができます。
内部運用の限界(SOC)と外部委託(MDR)の現実解
高度なスキルが必要なセキュリティ分析や対応を自社(SOC)で行うには、専門人材の確保や育成、24時間体制の維持など、多大なコストと労力がかかります。多くの企業にとって、自社SOCの構築・運用は容易ではありません。
そこで、現実的な解となるのがMDR(Managed Detection and Response)サービスの活用です。MDRは、専門のセキュリティベンダーがSOC機能を代行し、脅威の監視、分析、そしてインシデント発生時の対応までをワンストップで提供するサービスです。
侵入後の「封じ込め」スピードが事業存続の鍵
ゼロデイ攻撃はパッチが存在しない状態で行われるため、侵入を完全に防ぐことは困難であり、侵入後の対応スピードが被害の大きさを左右します。
- 迅速な初動対応: MDRサービスを活用することで、専門家が24時間365日体制で監視を行います。
- 被害の最小化: インシデント発生時には、即座に感染端末の隔離や通信の遮断といった「封じ込め」措置を実施し、被害の拡大を最小限に抑え、事業継続性を確保します。
まとめ:「防げない」を前提に。ゼロデイ攻撃に打ち勝つ「侵入後」の対策
ゼロデイ攻撃はいつ自社に降りかかるか予測できません。修正パッチが公開されるまでの「空白の期間」を狙うこの攻撃に対して、従来の防御一辺倒の対策は無力です。
企業は「防げない」ことを前提とし、侵入された後の対策に重点を置く必要があります。アタックサーフェス管理やネットワーク分離などの予防策に加え、EDRによる「不審な挙動」の検知、そしてMDRを活用した迅速な「封じ込め」体制の構築が、ゼロデイ攻撃という未知の脅威から企業を守るための現実的かつ効果的なアプローチとなります。経営層は、この新たなセキュリティ戦略への取り組みを最優先に検討すべき時が来ています。
【ホワイトペーパー】
人材不足・複雑化する脅威にどう立ち向かう?
MDRアウトソーシングで乗り越えるセキュリティ運用の壁
ダウンロード
