「ゼロデイ攻撃」って何？

　「ゼロデイ攻撃」とは、その時点で修正プログラム（パッチ）が公開されていない脆弱性を悪用するサイバー攻撃のことです。「ゼロデイ」とは、ベンダーから修正プログラムが提供された日を1日目（One day）とした場合に、修正プログラム未公開の状況は0日目（Zero day）とみなせるところからできた用語です。脆弱性は修正プログラムを適用することで解消可能なリスクですが、ゼロデイの場合には脆弱性を修正することができない、つまり根本的な解決方法がないことになります。

　そもそも「脆弱性」とは、OSやアプリケーションなどのソフトウェアにおける、欠陥や弱点のことを指します。サイバー犯罪者にとって脆弱性とは、不可能を可能にする魔法のようなものになりえます。例えば、通常だとメールの受信者をウイルス感染させるためには添付ファイルを開かせることが必要なところ、脆弱性を悪用することでメールをプレビューしただけで感染させることができるようになったりします。

　このため、サイバー犯罪者は常に自身の攻撃に悪用可能な脆弱性を探しています。対して、ソフトウェアの開発ベンダーやセキュリティ専門家は、このようなセキュリティ上の弱点を見つけて修正するため、継続的に時間と労力を費やしています。この両者のせめぎあいの中で、サイバー犯罪者がソフトウェアベンダーおよびセキュリティ専門家より先に新たなセキュリティ上の弱点とその悪用方法を見つけ、修正プログラム公開前に実際の攻撃で悪用した場合、結果としてゼロデイ攻撃と呼ばれることになります。

acworksさんによる写真ACからの写真

　このような性質上、ゼロデイ攻撃を事前に予測し対策することは困難と言えます。ただし、「仮想パッチ」などと呼ばれる対策技術では、ネットワーク経由で脆弱性を悪用しようとする通信を一般的なルールで検知し、結果的にゼロデイ攻撃を警告できる場合があります。また、多層防御のアプローチにより、脆弱性悪用前後の攻撃者の活動を検知・ブロックすることで最終的に攻撃を失敗させるという対策の考え方も重要です。

　組織内の利用者である従業員において、ゼロデイ攻撃自体に気付くことは難しいかもしれません。ただし、例えば「メールの添付ファイルを開いたが、エラーが発生した」など、普段の業務の中で少しでも異変を感じることがあった場合、それを組織内のしかるべき担当者へ報告することが、攻撃に気付くための手がかりになることがあります。日頃から「不審なメールは開かない」「怪しいURLは安易にクリックしない」ということを意識してください。ゼロデイ攻撃も怖いですが、すでに修正できるはずの脆弱性を放置することは不要にリスクを高めることになります。ソフトウェアやOS、セキュリティ対策ソフトは最新版に保つなどに加え、組織が指定したマニュアルに則したセキュリティ対策を実施するよう心がけてください。