ゼロデイ脆弱性:定義とその例とは?

ゼロデイ脆弱性:定義とその例とは?

未発見・未検出の脆弱性について知る


著者: Ahona Rudra
翻訳: 島田 麻里子

この記事はPowerDMARCのブログ記事 Zero-day Vulnerability: Definition and Examples? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

主なポイント

  1. ゼロデイ脆弱性とは、ベンダが修正プログラムを提供する前に、攻撃者によって悪用される未知かつ未修正の脆弱性を指します。
  2. 攻撃は、脆弱性の発見からエクスプロイトの開発、配布、実行に至るまでの段階を経て進行します。
  3. 検知には、脆弱性スキャン、システム監視、ユーザからの報告など、さまざまな手法が用いられます。
  4. 政府機関、金融機関、IT組織などの重要な組織は頻繁に攻撃を受けますが、価値のあるデータを保有するあらゆる組織がリスクにさらされています。
  5. 防止策には、迅速なパッチ適用、堅牢なセキュリティソフトウェア、ユーザアクセス制御、そして積極的な脅威ハンティングが含まれます。

ソフトウェアの内部に、誰にも気付かれていない欠陥が潜んでいると想像してみてください。
それは、システムの土台にひそかに生じた亀裂のようなものです。
ひとたび悪用されれば、大きな被害を引き起こす可能性があります。

これこそが、ゼロデイ脆弱性の本当の危険性です。
ゼロデイ脆弱性とは、これまで知られていなかったプロトコル、ソフトウェア、アプリケーション上の脆弱性を指します。
定義上、まだパッチも警告も存在しないため、防御側には対応する時間がほとんどありません。

開発者やユーザがその存在に気付く前に、攻撃者は実際のシステム環境で脆弱性を悪用し、未知の欠陥を悪用して攻撃を仕掛けます。
Google Threat Intelligence Groupによると、2024年に攻撃者が悪用したゼロデイ脆弱性は75件でした。
これは2023年の98件からは減少したものの、2022年に報告された63件を大きく上回っています。

特に注目すべき点は、2024年に悪用されたゼロデイの44%がエンタープライズプラットフォームを標的としていたことです。
この割合は、2023年の37%から増加しています。
さらに、エンタープライズ向けゼロデイの約3分の2は、セキュリティ製品やネットワーク製品を対象としていました。

一方で、ブラウザやモバイルデバイスを標的とした悪用は大幅に減少しました。
ブラウザ向けゼロデイは約3分の1減少し、モバイル向けゼロデイは前年比でほぼ半減しています。

では、ゼロデイ脆弱性とは具体的にどのようなものなのでしょうか。
この記事では、ゼロデイ脆弱性の概要、攻撃の仕組み、代表的な事例、検知方法、防止策について解説します。

ゼロデイ・エクスプロイト(攻撃)とは何か?

ゼロデイ・エクスプロイトとは、まだ公表も修正もされていないセキュリティ上の脆弱性のことです。
この用語は、脆弱性を悪用するコードそのものだけでなく、関連ツールを含む攻撃用パッケージ全体を指す場合もあります。

攻撃者は多くの場合、ゼロデイ・エクスプロイトを利用して、パッチが適用されていないシステムやネットワーク上にマルウェアを展開します。
また、防御側は、ネットワークの脆弱性を検出するための侵入テストを実施する際にも利用することができます。

「ゼロデイ脆弱性」「ゼロデイ・エクスプロイト」「ゼロデイ攻撃」という言葉を、ゼロデイ・エクスプロイトについて学ぶ際によく聞くでしょう。
これらの用語には本質的な違いがあります。

ゼロデイ・エクスプロイト
ハッカーがソフトウェアを標的にする手法
ゼロデイ脆弱性
企業のシステムの欠陥
ゼロデイ攻撃
ハッカーが脆弱性を悪用してシステムに侵入すること

脆弱性が発見され、パッチが適用されると、その脆弱性はもはやゼロデイには該当しません。

主な事例

ゼロデイ脆弱性は、歴史上の重大なサイバー攻撃の原因となってきました。
これらの脆弱性は、多くの場合、長年にわたって発見されないままとなり、修正が提供される前に、攻撃者にデータ窃取やサービス妨害、マルウェア導入を行うための十分な時間を与えてしまいます。

以下は、代表的な事例です。

Heartbleed(2014年)
OpenSSLの脆弱性により、攻撃者はサーバーのメモリ上に存在する秘密鍵などの機密情報を窃取しました。
Shellshock(2014年)
Bashシェルの脆弱性により、リモートの攻撃者はLinuxおよびmacOSシステム上で任意のコマンドを実行しました。
Equifax情報漏洩事件(2017年)
ハッカーはApache Strutsの脆弱性を悪用し、Social Security番号を含む1億4500万人分の個人情報を窃取しました。
WannaCry(2017年)
Windows SMBの脆弱性(EternalBlue)を悪用したランサムウェアワームであり、世界中で30万台以上のシステムに感染しました。
医療機関へのマルウェア攻撃
Hollywood Presbyterian Medical Centerなどの医療機関は、ランサムウェアやフィッシング攻撃の被害を受けており、一部の事例ではゼロデイ脆弱性を悪用した攻撃も確認されています。

一般的な標的

ゼロデイエクスプロイトは、金銭的価値や戦略的価値のあるあらゆる個人・組織を標的にします。
一般的な標的には、以下が含まれます。

このように標的を慎重に選定することで、攻撃者は長期間にわたって潜伏しやすくなり、被害者側も脆弱性を発見しにくくなる場合があります。
例えば、クラウドコンピューティング企業のRackspaceは、ゼロデイエクスプロイトを悪用したランサムウェア攻撃によって、27人の顧客の個人データにハッカーがアクセスしたことを公表しました。

ゼロデイ脆弱性が非常に危険である理由

ゼロデイ脆弱性は、発見から防御策が整うまでの空白期間に存在するため、特有の危険性を持っています。
この段階では、脆弱性はソフトウェアベンダにも認識されておらず、セキュリティシステムによる検知も難しく、ユーザによるパッチ適用も行われていません。
そのため、防御策が準備される前に攻撃者が攻撃を仕掛ける絶好の機会となります。

ゼロデイエクスプロイトの主な危険性

パッチが存在しない
脆弱性が未発見であるため、ベンダは修正プログラムを提供していません。
その結果、パッチが開発・展開されるまで、組織は脆弱な状態に置かれます。
攻撃が成功しやすい
アンチウイルスや侵入検知システムなどの従来型防御は、既知の脅威シグネチャに依存しています。
ゼロデイ攻撃はこれらを回避できるため、攻撃者に侵入の機会を与えます。
防御側の対応の難しさ
防御側は、ゼロデイが実際に悪用されるまで、その存在を認識できない場合が多くあります。
その時点では、攻撃者はすでにデータを窃取し、マルウェアを導入し、業務を妨害している可能性があります。
ハッカーにとっての戦略的価値
高度なサイバー犯罪グループは、多くの場合、政府、大企業、重要インフラなどの重要な標的に対してゼロデイを温存し、被害や影響を最大化しようとします。

これらの特性により、ゼロデイエクスプロイトは、データ漏洩、金銭的損失、評判低下、さらには長期的な復旧対応を引き起こすことが少なくありません。
防御側は事前対応の時間をほとんど確保できません。
攻撃が進行して初めて本格的な対応が始まる点に、ゼロデイ攻撃の大きな危険性があります。

ゼロデイエクスプロイトのライフサイクル

ゼロデイエクスプロイトは、一夜にして突然出現するものではありません。
攻撃者は、脆弱性をどれだけ長く悪用できるかを意識しながら、一定の段階を経て攻撃を進めます。
各段階は、攻撃者と防御側の優位性が変化する重要な局面を表しています。

ステージ1: 発見

ライフサイクルは、脆弱性が最初に発見された時点から始まります。
発見は主に以下の2つの形で行われます。

攻撃者による発見
脅威アクターは、脆弱性を探すために、ソフトウェア、ハードウェア、プロトコルを積極的に調査・解析します。
その際、ファジングツール、リバースエンジニアリング、ブルートフォース手法などを用いて、異常動作やクラッシュを意図的に発生させます。
研究者による発見
セキュリティ研究者や倫理的ハッカーが、監査、ペネトレーションテスト、バグ報奨金プログラムなどを通じて脆弱性を発見します。

この時点で、発見者は次の対応を選択します。

ステージ2: エクスプロイト作成

脆弱性が認識されると、攻撃者はエクスプロイトの作成を開始します。
エクスプロイトとは、脆弱性を悪用するために設計された悪意あるコードです。
この段階では、単なる脆弱性が実際に悪用可能な脅威へと変化します。

これにより、攻撃の規模や影響はさらに拡大します。

ステージ3: 侵入

エクスプロイトが完成すると、攻撃者は標的環境へ配信する方法を必要とします。
代表的な侵入経路には、以下があります。

ドライブバイダウンロードでは、ユーザがページを閲覧しただけでエクスプロイトが実行されることがあります。
また、リムーバブルメディアは、エアギャップ環境を狙った標的型攻撃で利用されることがあります。
侵入経路によって、無差別型の大規模攻撃になる場合もあれば、特定組織を狙った標的型攻撃になる場合もあります。

ステージ4: 悪用と実行

配信後、エクスプロイトは標的システム上で実行されます。
この段階で攻撃の影響が表面化しますが、多くの場合、すでに被害は発生しています。
攻撃者の目的に応じて、エクスプロイトは以下のような行為を実行します。

この時点で、ゼロデイエクスプロイトは実際の被害を引き起こしています。

ゼロデイ脆弱性を検知する方法

ゼロデイ脆弱性の検知は、サイバーセキュリティにおける最も難しい課題の1つです。
なぜなら、これらの脆弱性は、定義上、ベンダや従来型セキュリティツールに認識されていないためです。
検知方法は、大きく「事前検知」と「事後検知」の2つに分類されます。

事前検知では、攻撃者による悪用前に隠れた脆弱性を積極的に探します。
一方、事後検知では、不審な挙動や進行中の攻撃から脆弱性の存在を特定します。

事前検知

事前検知は、攻撃者が脆弱性を悪用する前に発見することを目的としています。

ファジング
ソフトウェアへランダムまたは異常な入力を与え、未知の脆弱性を示すクラッシュや異常動作を引き起こします。
異常ベーススキャン
高度なスキャンツールを利用し、通常動作と異なる異常なパターンやシステム応答を検出します。
リバースエンジニアリング
ソフトウェアやマルウェアコードを解析し、隠れた脆弱性やエクスプロイトの仕組みを調査します。

事後検知

ゼロデイ攻撃が事前対策を突破した場合、事後検知によって悪用開始後に脆弱性を発見します。

挙動ベースの監視
説明できないトラフィック急増、権限昇格、プロセス異常など、不審なシステム・ネットワーク活動を監視します。
過去ログ分析
過去のログや脅威インテリジェンスデータを調査し、ゼロデイエクスプロイトの活動痕跡を特定します。
ユーザ報告の分析
頻繁なクラッシュや異常エラーなど、未発見の脆弱性悪用を示す可能性があるユーザ報告を収集・調査します。

ゼロデイエクスプロイトを防止する方法

ゼロデイ攻撃を完全に防ぐことは困難ですが、適切な対策によってリスクや被害を大幅に軽減できます。

ソフトウェアとシステムを常に最新化する
パッチや更新プログラムを迅速に適用します。
ゼロデイそのものを防げるわけではありませんが、攻撃者が組み合わせて悪用する既知の脆弱性を排除できます。
また、更新版では悪用につながる小規模な不具合も修正されます。
包括的なセキュリティ対策を導入する
NGAV、EDR、ファイアウォール、IPSなど、多層的な防御ソリューションを導入します。
これらは、振る舞い検知やヒューリスティック分析を活用するため、既知シグネチャが存在しない場合でもゼロデイ攻撃を検知・遮断できる可能性があります。
ユーザアクセス権限を制限する
最小権限の原則を適用します。
アカウントが侵害された場合でも、権限を制限することで被害範囲を抑制できます。
また、アプリケーションの実行制御には許可リストや禁止リストを利用します。
ネットワークセグメンテーション
ネットワークを小規模なセグメントへ分割し、相互に分離します。
これにより、侵入後のマルウェア拡散を封じ込め、攻撃範囲を制限できます。
Web Application Firewall(WAF)
Web公開アプリケーションでは、WAFによって悪意あるHTTP/Sトラフィックを監視・遮断できます。 その結果、Webベースのゼロデイ攻撃によるリスクを軽減できます。
定期バックアップ
重要データは定期的にバックアップし、復元可能か検証しておきます。
これは攻撃自体を防ぐものではありませんが、特にランサムウェア被害からの復旧に不可欠です。
セキュリティ意識向上トレーニング
フィッシング、ソーシャルエンジニアリング、安全なWeb利用習慣についてユーザ教育を行います。
これにより、エクスプロイト配信成功の可能性を低減できます。

最後に

ゼロデイ脆弱性は、まだ認識されていない脆弱性を悪用するため、サイバーセキュリティにおいて最も危険な脅威の1つです。
この段階では、組織にはパッチ、防御策、警告のいずれも存在しません。
そのため、攻撃者が優位に立ちやすく、従来型セキュリティ対策では十分に防げない場合があります。

リスク軽減の鍵となるのは、多層的かつ事前対応型の防御です。
具体的には、脆弱性管理、リアルタイム監視、脅威インテリジェンス、迅速なパッチ管理を組み合わせることが重要です。
1つの製品や対策だけで、すべてのゼロデイ攻撃を防ぐことはできません。

しかし、強固なセキュリティ体制を構築することで、リスクを大幅に低減し、サイバー耐性を高めることができます。
フィッシング、なりすまし、偽装などのメールベースのゼロデイ脅威から組織を保護するには、DMARC、SPF、DKIMなどのメール認証技術の活用が有効です。

よくある質問

ゼロデイ脆弱性を発見するのは誰ですか
ハッカー、セキュリティ研究者、国家支援型グループなどによって発見される場合があります。
ゼロデイ脆弱性はいくつ存在しますか
正確な数は不明です。
Google Threat Intelligence Groupによると、確認されたゼロデイ悪用件数は以下の通りです。
  • 2022年: 63件
  • 2023年: 98件
  • 2024年: 75件