ゼロデイ攻撃とは、ソフトウェアの脆弱性に対して修正プログラム(パッチ)が提供される前に、その脆弱性を悪用して行われる攻撃です。守る側にとっては「まだ直す手段がない」状態を突かれるため、従来のパターンマッチング型の対策だけでは防ぎきれないのが厄介な点です。本記事では、その名前の由来から仕組み、そして「完全には防げない」前提で情シスが何をすべきかまでを整理します。
この記事でわかること
- ゼロデイ攻撃・ゼロデイ脆弱性の正確な意味
- なぜ「ゼロデイ」と呼ぶのか(Nデイ攻撃との違い)
- パターン検知では防げない理由と、現実的な備え方
ゼロデイ攻撃とは
ゼロデイ攻撃(zero-day attack)とは、開発ベンダー等が脆弱性の対策情報を公開する前に、攻撃者がその脆弱性を悪用して行う攻撃のことです。IPA(情報処理推進機構)も、修正プログラム提供前の脆弱性を悪用する攻撃として注意喚起しています。
関連して、悪用される脆弱性そのものを「ゼロデイ脆弱性」、攻撃に使われるプログラムを「ゼロデイ攻撃コード(エクスプロイト)」と呼びます。いずれも「ベンダーがまだ修正手段を出していない」という一点で共通しています。
なぜ「ゼロデイ」と呼ぶのか
パッチ公開からの経過日数が「0日(ゼロデイ)」だからです。脆弱性の修正が公開された日を1日目(デイ1)と数えると、それより前=防御側に猶予が「0日」しかない期間に行われる攻撃を指します。
対になる言葉が「Nデイ攻撃」です。これはパッチがすでに公開された脆弱性(公開からN日が経過した脆弱性)を、まだ適用していない組織を狙って悪用する攻撃を指します。両者の違いを押さえると、対策の力点も見えてきます。
| 区分 | 狙う脆弱性 | 守る側の状況 | 主な対策の力点 |
|---|---|---|---|
| ゼロデイ攻撃 | パッチ提供前 | 修正手段がまだ無い | 多層防御・振る舞い検知・被害局所化 |
| Nデイ攻撃 | パッチ提供後 | 修正手段はあるが未適用 | 迅速なパッチ適用・資産管理 |
実務的に見落とされがちですが、報じられる「ゼロデイ」も、いったんパッチが出れば翌日からはNデイ脆弱性に変わります。適用が遅れれば、ゼロデイと同じだけ危険という点は強調しておきたいところです。
ゼロデイ攻撃の流れ
典型的には次のような流れをたどります。攻撃者が先にゴールに到達してしまう構図がポイントです。
- (1) 脆弱性の発見:攻撃者(または脆弱性を売買する者)が、ベンダーも気づいていない欠陥を見つける。
- (2) 攻撃コードの作成:その欠陥を悪用するエクスプロイトを開発する。
- (3) 攻撃の実行:標的型メール、改ざんサイト、公開サーバへの直接攻撃などで悪用する。
- (4) ベンダーの認知・対応:被害や報告を受けてベンダーが脆弱性を確認し、緩和策やパッチを公開する(=ここでゼロデイ期間が終わる)。
(1)〜(3)は守る側からは見えないまま進むことが多く、攻撃に気づいた時点ですでに侵入されている、というのがゼロデイの怖さです。
なぜパターン検知では防げないのか
既知の攻撃の「特徴(シグネチャ)」がまだ存在しないからです。ウイルス対策ソフトの多くは、過去に観測されたマルウェアの特徴と照合して検知します。ゼロデイは定義上「初めて使われる」ため、照合すべきパターンが世の中に出回っていません。
そのため近年は、ファイルの特徴ではなく不審な振る舞い(プロセスの異常な挙動、想定外の通信など)から検知するアプローチが重視されています。端末側の挙動を監視・記録するEDRや、その範囲をネットワーク・クラウドまで広げたXDRが、その代表例です。「入口で弾く」だけでなく「侵入を前提に、早く気づいて被害を抑える」発想への転換と言えます。
情シスはどうすべきか
ゼロデイは「単一の特効薬」で防げるものではありません。だからこそ、複数の対策を重ねる多層防御と、被害を広げない設計が現実解になります。考え方の軸は次の通りです。
- 攻撃対象領域(アタックサーフェス)を減らす:不要なサービス・公開ポートを閉じ、使っていないソフトを残さない。狙える穴そのものを少なくする。
- 侵入後の横展開を止める:ネットワーク分離や最小権限の徹底。ゼロトラストの考え方が活きる場面です。
- 異常に早く気づく:EDR/XDRやログ監視で、侵入の兆候を検知できる体制をつくる。
- 復旧できる備え:暗号化や破壊に備え、バックアップの3-2-1ルールでオフライン世代を確保する。
- パッチを「出たらすぐ」当てる運用:ゼロデイ期間が終わってもNデイとして悪用され続けます。資産台帳と適用フローの整備が地味に効きます。
具体的な進め方は自前でチェックリストを作り込むより、まずは公的指針に当たるのが近道です。中小規模であればIPA「中小企業の情報セキュリティ対策ガイドライン」、ランサムウェアと絡む文脈ではIPAのランサムウェア対策特設ページが出発点として使いやすいでしょう。
現場の率直な所感として、ゼロデイは「結局のところ運の要素も大きい」攻撃です。報道のたびに経営層から「うちは大丈夫か」と問われますが、限られた人員で全端末・全アプリの未知の穴を塞ぐのは不可能に近い。だからこそ、平時から「侵入される前提でどれだけ早く気づき、どれだけ小さく抑えられるか」に投資しておくことが、いざというときの差になります。万一ゼロデイ攻撃を受けたと判断したら、被害拡大防止の観点からJPCERT/CCへの情報提供も検討してください。
関連用語
- EDRとは?仕組みとEPP・XDRの違いを解説:ゼロデイ対策の中核となる振る舞い検知。
- ゼロトラストとは?境界防御との違いと導入の勘所:侵入前提の被害局所化の考え方。
- ランサムウェアとは?仕組み・二重恐喝・対策を解説:ゼロデイがしばしば初期侵入に悪用される脅威。
- サプライチェーン攻撃とは?仕組みと種類をわかりやすく解説:未知の経路を突く点で発想が近い攻撃。
まとめ
- ゼロデイ攻撃とは、パッチが提供される前の脆弱性を悪用する攻撃。守る側に猶予が「0日」しかない。
- 既知の特徴と照合するパターン検知では防ぎにくく、EDR/XDRなどの振る舞い検知と多層防御が現実解。
- パッチ公開後はNデイ脆弱性として狙われ続ける。迅速な適用と、侵入前提の被害局所化・バックアップが鍵。

