情報セキュリティマネジメント試験 科目A キーワード集 > ゼロデイ攻撃
概要
ゼロデイ攻撃(zero-day attack)とは、ソフトウェアの脆弱性が発見されてから、開発者が修正プログラム(パッチ)を提供する前の無防備な期間に、その脆弱性を悪用して行われる攻撃です。対策が世に出る「0日目(zero day)」を突くことからこう呼ばれます。
修正パッチがまだ存在しないため、パッチ適用という基本対策が通用しないのが最大の特徴です。攻撃が成功しやすく、被害が大きくなりやすいため、特に警戒される攻撃です。
詳細(なぜ防ぎにくいか)
通常、脆弱性は「発見 → 開発者へ報告 → 修正パッチ公開 → 利用者が適用」という流れで対処されます。ゼロデイ攻撃は、このパッチ公開より前に行われます。
- パッチがないため、防御策が限られる。
- 既知のパターンに頼るウイルス対策ソフトでは検知が難しい。
- 標的型攻撃やランサムウェアと組み合わされることが多い。
ゼロデイ攻撃のキーワードは「パッチ提供前の脆弱性を突く」。パッチがない以上、多層防御・EDR・振る舞い検知で被害を抑えるという考え方が頻出です。
対策
- 多層防御で、1つの防御を破られても他で食い止める。
- EDR・振る舞い検知で、未知の攻撃でも不審な挙動を捉える。
- 不要な機能・サービスを無効化し、攻撃対象領域(アタックサーフェス)を減らす。
- パッチが出たら即座に適用する体制(脆弱性管理)を整える。
- ベンダーの暫定回避策(緩和策)や、IPS/WAFの仮想パッチを活用する。
インシデント事例
VPN機器のゼロデイ悪用
VPN機器のゼロデイ脆弱性が悪用され、企業ネットワークへ侵入されてランサムウェア被害に至る事例が報告されています。パッチ公開前・適用前の機器が標的になりました。
広く使われるソフトのゼロデイ
多くの企業が使うソフトやライブラリにゼロデイ脆弱性が見つかり、世界中で一斉に攻撃が試みられる事態がたびたび起きています。迅速な情報収集と暫定対応が被害を左右しました。
試験での問われ方
- 「修正パッチが提供される前の脆弱性を悪用する攻撃はどれか」→ ゼロデイ攻撃。
- 「ゼロデイ攻撃に対して有効な考え方はどれか」→ 多層防御・振る舞い検知。