ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用する攻撃です。SG試験で迷いやすい既知の脆弱性、パッチ管理、脆弱性情報との違いを整理します。

sg sg-security-overview threat_vulnerability sg-security-measures unauthorized_access

まず結論

  • ゼロデイ攻撃とは、修正プログラムや回避策が十分に用意される前の脆弱性を悪用する攻撃です。
  • SG試験では、「脆弱性が公表・修正される前、または対策が間に合っていない段階を狙う攻撃」として判断します。

直感的な説明

ゼロデイ攻撃は、まだ補修されていない穴を狙う攻撃です。

たとえば、建物のドアに欠陥が見つかったとします。

管理者がその欠陥に気づき、修理する前に、攻撃者がその欠陥を使って侵入するようなイメージです。

ソフトウェアでも同じです。

脆弱性が見つかっても、すぐに修正プログラムが提供されるとは限りません。

また、修正プログラムが提供されても、利用者側が適用するまでには時間がかかります。

その間に攻撃されると、被害を受ける可能性があります。

つまり、ゼロデイ攻撃は「守る側が十分に準備できていない脆弱性を狙う攻撃」です。

定義・仕組み

ゼロデイ攻撃の「ゼロデイ」は、脆弱性が知られてから対策までの猶予がほとんどない状態を表します。

一般には、次のような流れで考えると分かりやすいです。

  1. ソフトウェアや機器に未知の脆弱性が存在する
  2. 攻撃者がその脆弱性を発見する、または入手する
  3. 修正プログラムが提供される前に攻撃に悪用する
  4. 開発元や利用者が脆弱性を認識する
  5. 回避策や修正プログラムが提供される
  6. 利用者がパッチ適用や設定変更を行う

ゼロデイ攻撃で問題になるのは、攻撃時点で有効な修正プログラムがない、または対策が広く行き渡っていないことです。

そのため、通常のパッチ管理だけでは防ぎきれない場合があります。

IPAの情報セキュリティ10大脅威でも、脆弱性を悪用した攻撃や修正プログラム適用の重要性が継続的に取り上げられています。

ゼロデイ攻撃への対策では、パッチ適用だけでなく、次のような多層的な対策が重要になります。

  • 不要なサービスを停止する
  • 最小権限で運用する
  • WAFやIDS・IPSで不審な通信を検知・遮断する
  • EDRなどで端末の不審な動きを監視する
  • バックアップを取得する
  • 脆弱性情報を継続的に確認する

どんな場面で使う?

ゼロデイ攻撃は、ソフトウェアや機器に未修正の脆弱性がある場面で問題になります。

たとえば、次のような場面です。

  • Webブラウザの未知の脆弱性が悪用される
  • OSの未修正の脆弱性が攻撃に使われる
  • VPN機器やネットワーク機器の脆弱性が狙われる
  • Webアプリケーションの未知の欠陥が攻撃される
  • 外部ライブラリの脆弱性が修正前に悪用される

ゼロデイ攻撃は、修正プログラムがまだない段階で行われることがあるため、完全に防ぐことは難しいです。

そのため、次のような考え方が大切です。

  • 侵入されにくくする
  • 侵入されても被害を広げにくくする
  • 早く気づけるようにする
  • 復旧できるように備える

たとえば、最小権限の原則を守っていれば、脆弱性を悪用されても被害範囲を小さくできる可能性があります。

ログ監視やEDRを使っていれば、不審な動きを早く検知できる可能性があります。

バックアップがあれば、被害後の復旧に役立ちます。

SG試験では、ゼロデイ攻撃を「パッチが出る前だから何もできない」と考えるのではなく、多層防御と監視でリスクを下げる対象として整理します。

よくある誤解・混同

ゼロデイ攻撃は、既知の脆弱性を狙う攻撃、パッチ管理、脆弱性情報と混同しやすいです。

混同しやすい用語 判断ポイント
ゼロデイ攻撃 修正前、または対策が間に合っていない脆弱性を悪用する攻撃
既知の脆弱性を狙う攻撃 公表済み・修正済みだが、未適用の脆弱性を悪用する攻撃
パッチ管理 修正プログラムを計画的に適用し、適用状況を管理する運用
脆弱性情報 対象製品、影響、対策方法などを知らせる情報
脆弱性診断 既知の脆弱性や設定不備を広く洗い出す活動

SG試験では、次のような表現に注意します。

  • 「修正プログラムが提供される前の脆弱性を悪用する」
    → ゼロデイ攻撃を疑います。

  • 「対策が間に合っていない脆弱性を狙う」
    → ゼロデイ攻撃です。

  • 「公開済みの脆弱性に対するパッチを適用する」
    → パッチ管理です。

  • 「脆弱性の識別番号や深刻度を確認する」
    → CVEやCVSSを含む脆弱性情報の話です。

  • 「既知の脆弱性や設定不備を洗い出す」
    → 脆弱性診断です。

よくあるひっかけは、ゼロデイ攻撃を“パッチを適用していないだけの攻撃”と考えることです。

パッチが既に公開されているのに未適用の状態を狙う攻撃は、ゼロデイ攻撃とは切り分けて考えます。

ゼロデイ攻撃では、そもそも修正プログラムがまだ提供されていない、または対策が広く行き渡っていない段階を狙います。

また、ゼロデイ攻撃への対策は「パッチ適用だけ」ではありません。

修正前の期間を考えると、監視、アクセス制御、最小権限、バックアップ、不要機能の停止なども重要になります。

まとめ(試験直前用)

  • ゼロデイ攻撃は、修正前または対策前の脆弱性を悪用する攻撃です。
  • 既知の脆弱性でも、パッチ未適用を狙う攻撃とは切り分けます。
  • パッチ管理は、修正プログラムを適用・確認する運用です。
  • ゼロデイ攻撃には、監視、最小権限、不要機能の停止、バックアップなどの多層防御が重要です。
  • SG試験では、修正前・対策前・猶予がないという表現が出たらゼロデイ攻撃を疑います。

確認問題

ゼロデイ攻撃の説明として、最も適切なものはどれか。

ア. 修正プログラムや回避策が十分に提供される前の脆弱性を悪用して攻撃する。
イ. 公開済みの修正プログラムを計画的に適用し、適用状況を記録する。
ウ. ソフトウェアに含まれる外部ライブラリの一覧を作成し、構成部品を見える化する。
エ. 社内ネットワークへ接続する端末の状態を確認し、条件を満たす端末だけ接続を許可する。

回答と解説を表示 正解は **ア** です。 ゼロデイ攻撃は、修正プログラムや回避策が十分に提供される前の脆弱性を悪用する攻撃です。 イはパッチ管理、ウはSBOM、エは検疫ネットワークに近い説明です。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る