概要
ゼロデイ攻撃(Zero-day Attack)とは、脆弱性が発見されてから修正パッチが提供される前(対策日数がゼロ)に行われるサイバー攻撃です。 詳しくはJPCERT/CC(ゼロデイ脆弱性対策)も参照してください。
「ゼロデイ」の名前の由来
なぜ「ゼロデイ」と呼ばれるのでしょうか?それは「対策できる日数がゼロ日(0日)」という意味から来ています。
通常、セキュリティの脆弱性が発見されると、開発者は修正パッチを作成・公開し、ユーザーはそれを適用する時間があります。 しかし、ゼロデイ攻撃では:
- Day 0(0日目):脆弱性が発見された直後、修正パッチがまだ存在しない状態
- 防御する猶予がゼロ:開発者もユーザーも対応する時間が全くない
- 攻撃者だけが知っている:脆弱性を最初に発見した攻撃者が、誰も防げない状態で攻撃を仕掛ける
- パッチ公開後:修正パッチが公開されても、既に被害が発生している場合が多い(パッチ公開後も攻撃が続く可能性がある)
つまり、「防御側の準備日数 = 0日」という恐ろしい状況を表す名前なのです。
攻撃者の視点で体験してみよう
ゼロデイ攻撃の流れを体験しよう
この体験で分かること
- 脆弱性発見から攻撃までの流れ
- 修正パッチが公開されるまでの「無防備な期間」(Day 0)
- なぜ「ゼロデイ」と呼ばれるのか(防御日数ゼロ)
- 攻撃者が優位に立つ理由
実際のゼロデイ攻撃事例
ゼロデイ攻撃は歴史上、数多くの大規模な被害を引き起こしてきました。過去の事例を知ることで、その深刻さが理解できます。
1. Stuxnet(スタックスネット)- 2010年
イランの核施設を標的にしたサイバー兵器で、複数のゼロデイ脆弱性を悪用しました。 産業制御システムを攻撃し、遠心分離機を破壊したことで「史上初のサイバー戦争」とも呼ばれています。 この攻撃は国家レベルのサイバー攻撃能力を世界に示しました。
2. WannaCry(ワナクライ)- 2017年
Windowsのゼロデイ脆弱性を悪用したランサムウェア攻撃で、世界150カ国以上、30万台以上のコンピューターに感染しました。 病院、鉄道会社、大手企業が被害を受け、医療サービスの停止や業務の大規模な混乱が発生しました。 被害総額は数十億円規模と推定されています。
3. Log4Shell(ログフォーシェル)- 2021年
JavaのログライブラリLog4jに発見されたゼロデイ脆弱性で、世界中の無数のシステムが影響を受けました。 AppleのiCloud、Minecraft、Twitterなど、有名サービスも対象となり「史上最悪の脆弱性」とも評されました。 発見から数時間で攻撃が始まり、全世界で緊急対応が行われました。
4. Pegasus(ペガサス)- 継続中
iPhoneやAndroidのゼロデイ脆弱性を悪用したスパイウェアで、ジャーナリストや政治家が標的にされました。 ユーザーが何もしなくても、メッセージを受信するだけで感染する「ゼロクリック攻撃」として恐れられています。 現在も新しいゼロデイ脆弱性を悪用し続けていると報告されています。
5. Chrome/Safari ゼロデイ攻撃 - 2023年
GoogleのChromeやAppleのSafariで複数のゼロデイ脆弱性が発見され、攻撃に悪用されました。 ブラウザを使用しているだけで感染する可能性があり、各社は緊急でセキュリティアップデートをリリースしました。 ブラウザのゼロデイ脆弱性は影響範囲が広いため、特に深刻です。
なぜゼロデイ攻撃は危険なのか?
- 防御策が存在しない:修正パッチがまだ提供されていないため、完全に防ぐことが困難
- 検知が難しい:既知の攻撃パターンではないため、セキュリティソフトでも検知できない場合がある
- 影響範囲が広い:有名なソフトウェアの脆弱性が狙われた場合、多くのユーザーが被害を受ける可能性がある
ゼロデイ攻撃への対策
- ソフトウェアの定期的な更新:OSやアプリケーションを常に最新の状態に保つ
- セキュリティソフトの導入:最新のセキュリティソフトを導入し、定義ファイルを常に更新
- 不審なリンクやファイルを開かない:信頼できないWebサイトを訪問しない
