対象試験と出題頻度
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)
用語の定義
ゼロデイ攻撃(Zero-Day Attack)とは、一言で言うと「ソフトウェアの脆弱性が発見されてから、修正パッチが提供される前の”無防備な期間”を狙って行われる攻撃」のことです。
イメージとしては、「家の鍵に欠陥があると判明したが、鍵屋さんが新しい鍵を届けてくれる前に、泥棒がその欠陥を悪用して侵入する」ようなものです。
「ゼロデイ(0日)」とは、ベンダー(開発元)が脆弱性を認識してから修正パッチを提供するまでの猶予が「0日」、つまり対策が間に合わない状態を意味します。
📊 ゼロデイ攻撃のタイムライン
| 時点 | 状況 |
|---|---|
| Day -X | 脆弱性が存在するが、誰も気づいていない |
| Day 0 (ゼロデイ) |
攻撃者が脆弱性を発見・悪用開始 ベンダーはまだ把握していない、または対策が間に合わない |
| Day 1〜 | 脆弱性が公開される / ベンダーが認識 修正パッチの開発開始 |
| Day N | 修正パッチが公開される ユーザーが適用すれば脆弱性が解消 |
※ Day 0 〜 Day N の期間が「ゼロデイ脆弱性が悪用可能な期間」
解説
ゼロデイ攻撃(Zero-Day Attack)は、ソフトウェアやハードウェアに存在する未知の脆弱性、または修正パッチがまだ提供されていない既知の脆弱性を悪用する攻撃です。攻撃者がベンダーよりも先に脆弱性を発見し悪用するため、防御が非常に困難です。
- ゼロデイ脆弱性(Zero-Day Vulnerability):まだ修正パッチが存在しない脆弱性のことです。セキュリティ研究者や攻撃者によって発見されますが、ベンダーが認識していないか、認識していても修正が間に合っていない状態です。
- ゼロデイエクスプロイト(Zero-Day Exploit):ゼロデイ脆弱性を悪用するための攻撃コードやツールのことです。ダークウェブでは高額で売買されることもあり、国家レベルのサイバー攻撃で使用されることもあります。
💡 なぜゼロデイ攻撃は特に危険なのか?
ゼロデイ攻撃が恐ろしいのは、「正しくセキュリティ対策をしていても防げない」点にあります。通常のセキュリティ対策は「既知の脅威」に対するものですが、ゼロデイ攻撃は「未知の脅威」を突いてきます。ウイルス対策ソフトのパターンファイルにも登録されておらず、ファイアウォールのルールでもブロックできません。IPAの「情報セキュリティ10大脅威」でも、ゼロデイ攻撃を含む「修正プログラムの公開前を狙う攻撃」は継続的にランクインしています。
ゼロデイ攻撃は、標的型攻撃(APT攻撃)で頻繁に使用されます。攻撃者は特定の組織や国家を狙い、発見されにくいゼロデイ脆弱性を使って侵入し、長期間にわたって情報を窃取します。また、ランサムウェア攻撃の初期侵入にもゼロデイ脆弱性が悪用されることがあります。近年では、Log4Shell(2021年)、Spring4Shell(2022年)など、広く使われているソフトウェアのゼロデイ脆弱性が発見され、世界中で大きな被害をもたらしました。
具体的な活用例・対策
ゼロデイ攻撃を完全に防ぐことは困難ですが、被害を最小化するための多層防御が重要です。
- ソフトウェアの迅速なアップデート: 修正パッチが公開されたら、できるだけ早く適用します。ゼロデイ攻撃の「ゼロデイ期間」を短縮することで、被害リスクを低減できます。自動更新を有効にしておくことも重要です。
- 多層防御(Defense in Depth): 単一の対策に頼らず、ファイアウォール、IDS/IPS、EDR、WAFなど複数のセキュリティ製品を組み合わせます。1つの層を突破されても、他の層で検知・防御できる可能性があります。
- EDR(Endpoint Detection and Response)の導入: 従来のウイルス対策ソフト(シグネチャベース)では検知できないゼロデイ攻撃に対し、EDRは振る舞い検知によって不審な動作を検出します。
- ネットワークセグメンテーション: ネットワークを分離し、万が一侵入されても被害が組織全体に広がらないようにします。
- 最小権限の原則: ユーザーやシステムに必要最小限の権限のみを付与し、攻撃者が侵入しても実行できる操作を制限します。
- 脅威インテリジェンスの活用: 最新の脆弱性情報や攻撃手法に関する情報を継続的に収集し、早期に対策を講じます。
⚠️ 実務でのポイント
ゼロデイ攻撃への対応は「時間との勝負」です。脆弱性情報が公開されたら、以下の対応を迅速に行いましょう。
① 影響範囲の特定:該当するソフトウェアが自組織で使用されているか確認
② 緩和策の実施:パッチがなくても、設定変更やアクセス制限などで一時的にリスクを低減
③ パッチ適用:修正パッチが公開されたら速やかに適用
④ 侵害調査:すでに攻撃を受けていないか、ログを確認
試験ではこう出る!
ITパスポート、情報セキュリティマネジメント、基本情報技術者、応用情報技術者で頻出です。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 修正パッチ公開前の脆弱性を悪用
- ゼロデイ脆弱性 / ゼロデイエクスプロイト
- 未知の脅威への対策が困難
- 多層防御(Defense in Depth)
- 振る舞い検知 / EDR
試験問題で「脆弱性の修正プログラムが提供される前に、その脆弱性を悪用して行われる攻撃」や「ベンダーが脆弱性を認識してから対策が完了するまでの期間を狙った攻撃」といった記述があれば、それは「ゼロデイ攻撃」に関する記述です。
📊 脆弱性を悪用する攻撃の比較
| 攻撃の種類 | 特徴 | 対策の難易度 |
|---|---|---|
| ゼロデイ攻撃 | 修正パッチ公開前の脆弱性を悪用 | 非常に困難 |
| Nデイ攻撃 | 修正パッチ公開後、適用前の脆弱性を悪用 | パッチ適用で対策可能 |
| 既知の脆弱性攻撃 | 長期間放置された脆弱性を悪用 | パッチ適用で対策可能 |
📝 IPA試験での出題ポイント
ゼロデイ攻撃は、IPA試験で非常によく出題されるテーマです。特に「なぜ防御が難しいのか」「どのような対策が有効か」を問う問題が多いです。「修正パッチが存在しない」「シグネチャベースの対策では検知できない」「多層防御や振る舞い検知が有効」というポイントを押さえておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ゼロデイ攻撃に関する説明として、最も適切なものはどれでしょうか?
- A. 攻撃開始から24時間(1日=0日目)以内に完了する高速な攻撃
- B. 脆弱性の修正プログラムが提供される前に、その脆弱性を悪用して行われる攻撃
- C. ウイルス対策ソフトの定義ファイルが更新される前に行われるマルウェア攻撃
正解と解説を見る
正解:B
解説:
ゼロデイ攻撃は、ソフトウェアの脆弱性に対する修正プログラム(パッチ)が提供される前に、その脆弱性を悪用して行われる攻撃です。「ゼロデイ(0日)」とは、ベンダーが対策を講じるまでの猶予が「0日」であること、つまり防御手段がない状態を意味します。対策としては、多層防御、EDRによる振る舞い検知、迅速なパッチ適用などが有効です。
選択肢Aは「ゼロデイ」の意味を誤解した説明です。選択肢Cは部分的に関連しますが、ゼロデイ攻撃の定義としては不正確です。ゼロデイ攻撃の本質は「脆弱性の修正パッチがない状態」を狙う点にあります。
📖 関連リンク(外部サイト)
