対象試験と出題頻度
ゼロデイ攻撃は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のいずれの試験でも出題実績があるセキュリティ用語です。
問題形式はほぼ固定で、「ゼロデイ攻撃の特徴はどれか」という4択が繰り返し使い回されています。
選択肢の顔ぶれもDDoS攻撃・フィッシングなど毎回ほぼ同じ構成のため、パターンさえ知っていれば確実に得点できます。
対象試験と頻出度を確認する
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
セキュリティの勉強をしていると「ゼロデイ」という言葉の語源が分かりにくく、攻撃の本質がぼんやりしがちです。名前の由来から押さえると一気にクリアになります。
ゼロデイ攻撃(Zero-day Attack)とは、一言で言うと
「ソフトウェアの脆弱性に対する修正プログラムが提供される前に、その脆弱性を悪用して行われる攻撃」
です。
イメージとしては、「家のカギが壊れているのに、鍵屋が来る前に泥棒に入られる」状態です。
「修正パッチが出た日=1日目」とカウントしたとき、まだ0日目(ゼロデイ)の段階で攻撃が始まっている。修理屋が到着する前に侵入されるため、利用者側には打つ手がほとんどありません。
📊 ゼロデイ攻撃の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Zero-day Attack |
| 分類 | 脆弱性悪用型のサイバー攻撃 |
| 攻撃の標的 | 修正プログラム(パッチ)未提供の脆弱性 |
| NIST定義 | An attack that exploits a previously unknown hardware, firmware, or software vulnerability(CNSSI 4009-2015) |
解説
なぜゼロデイ攻撃は防ぎにくいのか
通常のセキュリティ対策は「脆弱性が見つかる → ベンダーが修正パッチを公開 → 利用者が適用」というサイクルで成り立っています。
ゼロデイ攻撃はこのサイクルの隙間を突きます。パッチが存在しない以上、ウイルス対策ソフトのシグネチャ(既知の攻撃パターン)にも該当しないため、従来型の防御では検知すらできません。
攻撃が成立するまでの流れ
攻撃者がどのタイミングで動くのかを時系列で整理します。ポイントは「修正パッチの有無」が攻防の分かれ目になることです。
ゼロデイ攻撃のタイムライン
脆弱性の存在(未発見の状態)
ソフトウェアにバグや設計上の欠陥があるが、開発元も利用者も気づいていない。
攻撃者が脆弱性を発見
攻撃者が独自にセキュリティホールを見つける。この時点で開発元はまだ知らない。
★ ゼロデイ攻撃の実行 ★
修正パッチが存在しない状態で攻撃が開始される。利用者は無防備。
脆弱性が公表・修正パッチ提供
開発元が脆弱性を認知し、修正プログラムを公開。ここが「1日目」。
利用者がパッチを適用
ここでようやく防御が成立する。適用が遅れると引き続きリスクが残る。
▲ ステップ3の時点ではパッチが存在しない。これが「ゼロデイ(0日目)」の意味
実際の被害事例から学ぶ深刻度
ゼロデイ攻撃は机上の概念ではなく、現実に大規模な被害を引き起こしています。代表的な事例を2つ紹介します。
Shellshock(2014年):LinuxなどのシェルであるBashに重大な脆弱性(CVE-2014-6271)が発見され、公表直後から攻撃が殺到しました。
Bashはサーバ管理やCGIの基幹部分で使われていたため影響範囲が極めて広く、パッチ適用が完了するまで数週間にわたって無防備な状態が続きました。IPAからも緊急告知が出された事例です。
EternalBlue(2017年):WindowsのSMBプロトコルに存在した脆弱性を突く攻撃で、ランサムウェア「WannaCry」の感染爆発に利用されました。
世界150か国以上、30万台以上のPCが被害を受け、病院のシステム停止など社会インフラにまで影響が及びました。
有効な対策:パッチがない状況で何ができるか
パッチが存在しない以上、「完全な防御」は困難です。ただし被害の発生確率を下げる手段はあります。
| 対策 | 内容 |
|---|---|
| 振る舞い検知型の防御 | 既知のパターンに頼らず、プログラムの異常な挙動を監視して検知する方式。EDRやサンドボックスが該当する |
| 多層防御 | ファイアウォール・IDS/IPS・WAFなど複数の防御層を重ねて、1つが突破されても次で止める構成 |
| 迅速なパッチ適用体制 | パッチ公開後に速やかに適用できる運用ルールを整備し、「ゼロデイ期間」を最短にする |
| 脆弱性情報の収集 | MITREのCVE情報やIPAの注意喚起を常時監視し、脅威の発生を早期に把握する |
混同しやすい攻撃との違い
ゼロデイ攻撃は「タイミング」に着目した分類であり、特定の攻撃手法を指すものではありません。
ここが他の攻撃と決定的に異なる点です。
| 攻撃名 | 着目点 | 見分けキーワード |
|---|---|---|
| ゼロデイ攻撃 | パッチ提供前という「時間」 | 修正前、未知の脆弱性、パッチ未提供 |
| SQLインジェクション | 入力値を使ったDBへの不正操作という「手法」 | 入力フォーム、SQL文、データベース |
| DDoS攻撃 | 大量アクセスによるサービス停止という「目的」 | 複数台、同時、サーバ停止 |
| 標的型攻撃(APT) | 特定組織への長期的な侵入という「対象」 | 特定組織、執拗、長期潜伏 |
ゼロデイ攻撃は他の手法と組み合わさることもあります。
例えば、APT攻撃の一環としてゼロデイ脆弱性が利用されるケースは実際に多数報告されています。
覚えるのはここだけ
・修正パッチが出る前に脆弱性を悪用する攻撃=ゼロデイ攻撃
・「ゼロデイ」は修正パッチ提供日を1日目としたときの「0日目」を意味する
・特定の手法名ではなく「タイミング」を示す分類。他の攻撃と併用されることもある
試験ではこう出る!
ゼロデイ攻撃は全試験区分で繰り返し出題されており、問題文・選択肢の構成がほぼ同一の「使い回しパターン」が特徴です。ここだけは確実に押さえてください。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| IP R7年 問73 |
攻撃の記述と名称の組合せを選ぶ問題。ゼロデイ攻撃・DDoS攻撃・ブルートフォース攻撃の3つが登場。 | ・「修正プログラムが提供される前に脆弱性を突く」がゼロデイの判別キー |
| IP H25秋 問74 |
「ゼロデイ攻撃の説明として適切なものはどれか」の4択。ポートスキャン・ソーシャルエンジニアリング・辞書攻撃がひっかけ。 | ・「修正プログラムがベンダーから提供される前」がキーフレーズ |
| SG H30秋 問13 |
FE・APと同一構成の問題がSGにも流用。 | ・選択肢構成は「ゼロデイ / DDoS / フィッシング / スパムメール」の鉄板パターン |
| FE R3免除 問37 |
SG H30秋 問13と完全に同一の問題文・選択肢。 | ・試験区分をまたいで問題が使い回される典型例 |
| AP H23特別 問44 |
同一構成。AP H27秋 問42でも再出題。 | ・APでも午前問題で出る。難易度は他区分と変わらない |
📝 出題パターンと判別テクニック
鉄板パターン:「ゼロデイ攻撃の特徴/説明はどれか」
正解の選択肢には必ず「セキュリティパッチが提供される前」「修正プログラムがベンダーから提供される前」という文言が含まれます。この一文があれば即答できます。
ひっかけ選択肢の顔ぶれ:
「複数台のPCから同時に攻撃」→ DDoS攻撃
「フィッシングメールで不正サイトへ誘導」→ フィッシング
「不正中継のメールサーバを踏み台にチェーンメール」→ スパムメール送信
この3つは毎回のようにセットで登場します。
午前対策はこれで十分です。午後問題でゼロデイ攻撃の単語が単独で深掘りされた実績はありません。
【確認テスト】理解度チェック
Q. ゼロデイ攻撃の特徴として、最も適切なものはどれか。
- A. 特定のWebサイトに対し、日時を決めて、複数台のPCから同時に大量のリクエストを送り付け、サービスを停止させる。
- B. 特定のターゲットに対し、関係者を装ったメールを送信して、添付ファイルやリンクから不正プログラムに感染させる。
- C. 脆弱性に対するセキュリティパッチが提供される前に、当該脆弱性を悪用して攻撃する。
正解と解説を見る
正解:C
解説:
ゼロデイ攻撃は、修正プログラムの提供前に脆弱性を悪用する攻撃です。「パッチ提供前」という時間的な条件が核心であり、選択肢Cがこれに該当します。
選択肢AはDDoS攻撃の説明です。複数台の端末から一斉に負荷をかけてサービスを停止させる手法であり、脆弱性の悪用を本質とするものではありません。選択肢Bは標的型攻撃の説明です。特定の組織・人物を狙い、巧妙なメールで侵入口を作る手法であり、パッチの有無とは無関係に成立します。
よくある質問(FAQ)
Q. ゼロデイ攻撃とゼロデイ脆弱性は何が違いますか?
ゼロデイ脆弱性は「パッチ未提供の脆弱性そのもの」を指し、ゼロデイ攻撃は「その脆弱性を実際に悪用する行為」を指します。脆弱性は「穴」、攻撃はその穴を使った「侵入行為」です。試験では「ゼロデイ攻撃」として問われますが、実務のニュースでは「ゼロデイ脆弱性が発見された」という形で報道されることも多いため、両方の用語を知っておくと混乱しません。
Q. ゼロデイ脆弱性にはCVE番号が付くのですか?
付きます。脆弱性が公表された段階で、米国のMITREが運営するCVE(Common Vulnerabilities and Exposures)制度により「CVE-年-番号」の識別子が割り当てられます。例えばShellshockは「CVE-2014-6271」です。CVE番号が付与されることで、世界中の組織が同一の脆弱性について情報を共有できる仕組みになっています。
Q. 利用者としてゼロデイ攻撃を完全に防ぐ方法はありますか?
残念ながら「完全に防ぐ」手段は存在しません。パッチがない以上、従来のパターンマッチング型の対策ソフトでは検知できないためです。ただし、EDRによる異常挙動の検知、ネットワーク分離による被害範囲の限定、バックアップからの迅速な復旧体制の整備など、被害を最小化するアプローチは有効です。「防ぐ」のではなく「被害を最小にする」という発想が重要になります。
Q. ゼロデイ攻撃は標的型攻撃(APT)と組み合わされることがあると聞きました。具体的にどういう関係ですか?
APT攻撃は特定組織に長期間にわたって侵入・潜伏する攻撃の総称であり、その侵入手段の一つとしてゼロデイ脆弱性が使われることがあります。攻撃者にとって、パッチが存在しない脆弱性は「確実に突破できる入口」であるため、高度な標的型攻撃グループは未公表の脆弱性を温存しておき、ここぞという場面で使用する傾向があります。つまりゼロデイは「手段」、APTは「戦略」であり、両者は上下関係ではなく組み合わせの関係です。
この用語の前後関係
【前提知識】 サイバー攻撃の種類
【関連用語】 脆弱性 / CVE / セキュリティパッチ / EDR / IDS/IPS
【発展】 APT(標的型攻撃)/ サプライチェーン攻撃 / 脆弱性診断
