ゼロデイ攻撃とは？
手口や特徴、被害事例、対策方法を解説

ゼロデイ攻撃とは、ソフトウェアやアプリケーション、システムなどのプログラムに存在する脆弱性に対し、開発元が修正パッチを提供する前に行われる攻撃をいいます。

脆弱性とは、プログラムやシステム内部に存在する、セキュリティに関わる欠陥のことです。攻撃者がシステム内部に進入する際の「穴」になり得ることから、「セキュリティホール」とも呼ばれます。

提供会社は脆弱性が生じないようにソフトウェアを開発しているものの、完全に排除するのは難しいのが実情です。リリース後も、提供会社は脆弱性の有無について継続的にチェックしますが、攻撃者が先に脆弱性を発見するケースも見られます。的確に脆弱性を突いた攻撃が行われた場合、システムへの不正アクセスやデータの漏えいなど深刻な被害をもたらす可能性が高く、大きな脅威となっています。

企業や官公庁が業務で多用しているプログラムが、ゼロデイ攻撃の対象となりやすい傾向があります。例を挙げると、以下のとおりです。

これらの一般的なビジネスソフトウェアに脆弱性があった場合、多くの企業に影響が及ぶ可能性が考えられます。

ゼロデイ攻撃は、ソフトウェアの提供会社がセキュリティパッチを提供するのに先んじて、攻撃者が脆弱性を見つけ出し、攻撃を行う必要があるため攻撃の難易度が高いといわれています。

しかし、ひとたび被害を受ければ、その影響は脆弱性を抱えているソフトウェアやアプリケーションにとどまりません。そこを踏み台として、社内システム全体に影響が及び、情報漏えいや、事業停止などの甚大な被害につながる可能性も少なくありません。

ゼロデイ攻撃は、以下の流れで行われます。

1.　攻撃者がソフトウェアやアプリケーション、システムなどのプログラムの脆弱性を発見します。

2.　脆弱性を突いて攻撃するための「エクスプロイト」と呼ばれる不正なプログラムを攻撃者が開発します。提供会社も脆弱性を発見している場合、セキュリティパッチが急いで開発されます。この結果、攻撃者と提供会社はお互いに開発スピードを競い合う状況が生まれます。

3.　開発したエクスプロイトを使って、狙ったプログラムを攻撃します。主な攻撃経路は、以下の3つです。

4.　セキュリティホールからシステム内部に侵入し、ほかのマルウェアに感染させるなどします。マルウェアは悪意のあるプログラムやソフトウェアの総称です。感染により、機密情報の漏えいやランサムウェアによる身代金要求といった被害が想定されます。

5.　このような不正アクセスを継続して行うための「バックドア」と呼ばれるプログラムをシステム内に設置します。一度バックドアが仕掛けられると、攻撃者はシステムに自由にアクセスし、侵入を繰り返す状況を引き起こします。そうなると被害が拡大していることに気づかず、長期間にわたって不正アクセスを受け続けてしまうケースも考えられます。

対策に向けた予備知識として、ゼロデイ攻撃の主な手口を解説します。ゼロデイ攻撃は「ばらまき型攻撃」と「標的型攻撃」の2種類に分類できます。

業務でよく使われるドキュメントファイルを通じて、マルウェアを送り込む手口です。一般的な文書作成ソフトや表計算ソフトのファイルに、あらかじめ不正なプログラムが埋め込まれており、ファイルが開かれると自動的に実行されてマルウェアに感染します。

感染すると端末内の情報が盗み出されたり、改ざんされたりします。さらにネットワーク経由でほかの機器にも被害が拡大する可能性があります。

攻撃メールと同様に、標的型攻撃とばらまき型攻撃の両方があり、悪意あるドキュメントファイルは、メールやSNSなどを通じて届けられます。対策としては、信頼できる相手から送られてきたファイル以外は開かないこと、表計算ソフトはマルウェアの感染に悪用されるおそれがあるマクロ機能を無効化するなどが有効です。

Webサイト内のボタンをクリックするといった操作をきっかけに、マルウェアに感染させる手口です。メールなどでリンクを送り、「罠」を仕掛けた不正なWebサイトに誘導します。あるいは、正規のWebサイトの脆弱性につけ込んで改ざんし、不正なプログラムを埋め込むケースも見られます。

正規のWebサイトが改ざんされている場合、注意していても攻撃を避けることは難しく、攻撃により個人情報を盗まれるなどの被害を受けます。

VPNは、インターネットに接続する際に、仮想の専用回線を使用する接続方式です。一般的にはVPNを使うことで安全性の高い通信が行えるとされていますが、実際にはVPNに脆弱性が存在することがあり得ます。この脆弱性を突かれると、感染したVPN機器から内部ネットワークへの侵入を許し、機密情報への不正アクセスが発生する可能性が高まります。

「警視庁 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、令和 6年上半期におけるランサムウェアの被害報告件数は114件と高水準で推移しており、同報告書内のアンケート調査では、有効回答47件のうち22件が感染経路として「VPN機器」を挙げ、最多となっています。

社外から社内の情報にアクセスする手段として、VPNの利用が広まっていますが、リスクについても認識しておくことが大切です。

ある公的機関において、メールシステムへの不正アクセスが確認され、データの外部流出の可能性が報告されました。これはシステムベンダーも把握していなかった脆弱性を突いたゼロデイ攻撃であり、数カ月にわたって情報漏えいが起こっていた可能性も推測されました。

システムの提供会社が脆弱性を認識していない場合、被害が長期化する危険性を示した事例といえます。この公的機関では、不正アクセスの痕跡を発見した後、システム停止や機器交換などの対策を実施しました。

顧客に提供するソフトウェアの脆弱性を悪用されたことを起因に、ソフトウェア開発企業がサイバー攻撃を受け、不正な操作ができる状態に陥っていました。その企業の主な顧客は、他社のIT環境の監視・保守・運用業務を代行する事業者である「MSP」です。

攻撃者は製品のアップデートシステムを悪用し、マルウェアを広範囲に配布しました。結果、直接の被害を受けたMSPは複数存在し、さらにその影響は多くの取引先企業にまで波及したと推測されます。この事例は、ソフトウェアのサプライチェーンを通じて、ゼロデイ攻撃の被害が広範囲に拡大する危険性を如実に示しています。

企業で広く使用されているパソコンのOSが、脆弱性を狙ったゼロデイ攻撃を受けました。攻撃者が偽のメールを送り、URLをクリックさせてマルウェアに感染させる手口によるものです。OSがマルウェアに感染すると、攻撃者が正規のユーザーになりすますことが可能となってしまいます。これにより、ユーザーの認証が突破される事態が発生してしまいました。

認証を通過した後、攻撃者は標的であるパソコン上で悪意のあるコードを実行し、システムファイルを消去するなどの被害を発生させました。このOSに対するゼロデイ攻撃は、軍事目的でも行われたことが確認されています。

ゼロデイ攻撃の被害を防ぐためには、事前の対策が不可欠です。具体的な対策方法を紹介します。

ゼロデイ攻撃への対策には、システム面の整備だけでなく従業員教育が欠かせません。従業員のセキュリティ意識が低い企業は、攻撃対象として狙われやすくなります。

怪しいメールの開封や添付ファイルを安易に開かないなど、基本的な対策を社内で徹底させることが重要です。

ネットワークセキュリティ製品でゼロデイ攻撃のリスク軽減が可能です。ファイアウォールを設置し、外部攻撃からネットワークを守ります。ファイアウォールは、許可されていないデータ通信を感知すると、通信そのものを遮断する仕組みです。

また、「SASE」の導入も有効な対策となります。SASEは「Secure Access Service Edge」の略で、ネットワークとセキュリティの機能を一体化したクラウドサービスです。
クラウドサービスの利用状況を可視化するCASB (Cloud Access Security Broker) や利用者や端末の状態によりアクセスを制御するZTNA (Zero Trust Network Access) などの機能を統合的に提供し、場所を問わず安全性の高い通信環境を実現します。従業員の自宅や海外拠点など、場所を問わずに利用できるため利便性が高いのが特徴です。

ゼロデイ攻撃は、ソフトウェアやアプリケーション、システムなどのプログラムの脆弱性に対し、修正が行われる前に仕掛ける攻撃です。攻撃者はプログラムの提供会社と同時かそれ以上の早いタイミングで脆弱性を発見し、修正されるまでの間の隙を突きます。

脆弱性が存在する限り完全な防御は難しいですが、有効な対策を組み合わせることで、被害の早期発見と最小化が可能となるでしょう。