なぜ防げない？ゼロデイ攻撃の仕組みや被害、企業リスクの全体像を解説

「ゼロデイ攻撃って、聞いたことはあるけど、正直よくわからない…」

「パソコンやスマホが突然狙われるって本当？」

結論からお伝えすると、ゼロデイ攻撃は「とても見つけにくく、防ぐのが難しいサイバー攻撃」です。

なぜなら、ゼロデイ攻撃はまだ修正されていないソフトの弱点（脆弱性）を狙ってくるため、対策が間に合わないことが多く、知らないうちに攻撃されてしまうケースがあるからです。

この記事では、ゼロデイ攻撃のしくみや実際の事例、なぜ危険なのか、そして企業や個人ができる具体的な対策までわかりやすく解説します。

この記事を読むことで、ゼロデイ攻撃の危険性を知り、自分のパソコンやスマートフォン、会社のシステムを守るために今すぐできることが見えてくるでしょう。

「知らなかった」ではすまされない被害を防ぐために、ぜひ最後までご覧ください。

1.ゼロデイ攻撃とは「パッチが公開される前のサイバー攻撃」

ゼロデイ攻撃とは、ソフトウェアに見つかった弱点（脆弱性）に対して、修正プログラム（パッチ）がまだ用意されていない段階で行われるサイバー攻撃のことです。

つまり「問題があることに誰も気づいていないうちに仕掛けられる攻撃」であり、気づいたときにはすでに被害が広がっていることもあります。

一般的に、ソフトウェアに不具合が見つかると、開発元は修正プログラムを作って公開します。

しかしゼロデイ攻撃では、まだその修正が世の中に出ていない「0日目（ゼロデイ）」のタイミングを狙って攻撃されるのです。

つまり、防ぐ手段が少なく、セキュリティソフトでも見つけにくいため、非常に危険な手口とされています。

2.なぜ防ぐのが難しいのか？ゼロデイ攻撃が危険とされる3つの特徴

ゼロデイ攻撃が危険な理由は、大きく分けて3つあります。

• パッチが存在しない
• 攻撃側が「先手」、防御側が「後手」の状況
• 標的型攻撃と組み合わせての攻撃が多い

この特徴を知らずにいると、見えない脅威に対して無防備なままになってしまい、気づかないうちに被害を受けるおそれがあります。

それぞれの特徴について、順番に解説していきます。

(1)パッチが存在しない

ゼロデイ攻撃が危険とされる理由は、「パッチ（修正プログラム）がまだ存在しない」という点です。

攻撃の対象となる脆弱性が発見されたばかり、あるいはまだ公表すらされていない段階で悪用されるため、ユーザー側は何も対策が取れないまま被害を受けてしまいます。

通常、ソフトウェアに不具合やセキュリティ上の問題が見つかると、開発元はそれを修正するパッチを配布します。

しかしゼロデイ攻撃では、その修正が世の中に出る前に、攻撃者が先に弱点を見つけて悪用します。

つまり、問題を直す手段がない状態で攻撃が行われるため、どれだけ注意していても防ぐのが非常に難しいのです。

(2)攻撃側が「先手」、防御側が「後手」の状況

ゼロデイ攻撃では、攻撃者が「先に気づき、仕掛ける」立場である一方、防ぐ側は「後から対応するしかない」状態になります。

この先手を取られる構図が、ゼロデイ攻撃をやっかいで危険なものにしています。

攻撃者は、まだ誰にも知られていない脆弱性を見つけ、それを秘密裏に使って攻撃を仕掛けます。

開発者やセキュリティ担当者は、その問題が公表されて初めて存在に気づくため、パッチの準備や防御策の導入はどうしても遅れてしまうのです。

つまり、ゼロデイ攻撃は、守るための準備ができない状態からスタートするのが特徴です。

(3)標的型攻撃と組み合わせての攻撃が多い

ゼロデイ攻撃は、特定の組織や人物を狙う「標的型攻撃」と組み合わせて使われることが多く、その分だけ被害も深刻になりやすい傾向があります。

単なる偶然ではなく、狙って仕掛けられる点が大きな特徴です。

標的型攻撃とは、あらかじめ狙いを定めて情報を集め、その相手に合った方法で攻撃を行う手口です。

たとえば、社内関係者になりすましたメールを送り、添付ファイルにゼロデイ脆弱性を含めて感染させるといったケースがあります。

ゼロデイ攻撃は単独で使われることもありますが、標的型攻撃と組み合わせることでより成功率を高めてくるのです。

3.ゼロデイ攻撃の代表的な3つの手口

(1)マルウェアを仕込んだメールの送付

代表的な手口の一つが、「マルウェアを仕込んだメール」を送りつける方法です。

一見ふつうの業務連絡や案内文に見えるメールでも、その中に危険なファイルが添付されていたり、不正なリンクが含まれていたりすることがあります。

この攻撃の怖いところは、見た目がごく自然なメールであるため、受信者が疑いなく開いてしまう点です。

しかも、添付ファイルには、まだ修正されていないソフトの弱点（ゼロデイ脆弱性）を狙ったマルウェアが仕込まれている場合があり、ファイルを開いた瞬間にパソコンが感染してしまうこともあります。

つまり、メールを開くだけで感染してしまう可能性があるのです。

(2)改ざんされたWebサイトへの誘導

ゼロデイ攻撃では、マルウェアを仕込んだ「改ざんされたWebサイト」に誘導する方法もよく使われる手口です。

この方法は、ユーザーが自分からアクセスしてしまうため、本人が被害に気づきにくいという特徴があります。

攻撃者は、いったん正規のWebサイトに不正アクセスし、そのページの一部にマルウェアを仕込むように改ざんします。

見た目はふだん通りのサイトのように見えるため、ユーザーはまったく疑わずにページを開いてしまうでしょう。

すると、ページを開いた瞬間に、まだ修正されていない脆弱性を狙ってマルウェアが自動的に実行されることがあります。

つまり、リンクをクリックしただけで感染する場合もあるのです。

(3)悪意のある広告による自動ダウンロード

ゼロデイ攻撃でよく使われる手口で代表的なものは、以下の3つです。

• マルウェアを仕込んだメールの送付
• 改ざんされたWebサイトへの誘導
• 悪意のある広告による自動ダウンロード

それぞれの手口について、ひとつずつ見ていきましょう。

ゼロデイ攻撃の手口に、「悪意のある広告（マルバタイジング）」を使った自動ダウンロードがあります。

これは、見た目はふつうの広告に見えても、その中に仕込まれたプログラムが、ユーザーの知らない間にマルウェアを勝手にダウンロードさせるという非常に巧妙な方法です。

攻撃者は、有名サイトやネット広告に不正な広告を紛れ込ませます。

その広告が表示されるだけで、ページを開いた人のパソコンやスマートフォンが、ゼロデイ脆弱性を突かれてマルウェアに感染してしまう場合があります。

利用者は何もクリックしていないのに、バックグラウンドで勝手にプログラムが動いてしまうため、被害に気づかないケースも少なくありません。

つまり、見慣れたニュースサイトやブログを見ているだけでも、ゼロデイ攻撃に巻き込まれることがあるのです。

4.ゼロデイ攻撃による被害事例

ここでは、ゼロデイ攻撃によって実際に発生した被害の事例について、ご紹介していきます。

どのような企業や組織が、どんな手口で攻撃され、どのような影響を受けたのかを知ることで、自分ごととして危機感を持つきっかけになれば幸いです。

(1)Microsoft Exchange Serverの脆弱性を突いた国家支援型攻撃

2021年初頭、Microsoft Exchange Serverの4つのゼロデイ脆弱性（CVE-2021-26855など）を悪用した攻撃が発生しました。

攻撃者は、中国政府の支援を受けたとされる「HAFNIUM」などのグループで、認証を回避してWebシェルを設置し、メール情報の窃取やランサムウェア「DearCry」の展開などを行いました。

Microsoftは3月2日に緊急パッチを公開しましたが、それ以前から世界中で25万台以上のサーバーが影響を受け、欧州銀行監督機構などの公的機関も被害に遭いました。

参照：UNIT42「Microsoft Exchange Serverへの攻撃のタイムライン」

(2)三菱重工を含む防衛産業8社への標的型攻撃

2011年、三菱重工業を含む日本および米国などの防衛関連企業8社が、Adobe FlashとAdobe Readerに存在した脆弱性を悪用される形で攻撃を受けました。

攻撃者は、正規文書を装ったPDFファイルをメールの添付として送りつけ、そこからFlash/Readerの未修正の脆弱性を使ってバックドア型マルウェアを設置。当該パソコンはC&C（指令）サーバーと接続し、機密情報やネットワーク情報を送信しました。

さらに、パスワードハッシュを横展開の手段として利用し、内部ネットワーク全体へ侵入しました。

最終的にはリモート操作可能なトロイの木馬が多数展開されたとされています。

参照：INTERNET Watch「三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析」

(3)iPhoneへのゼロクリック攻撃

2023年9月、カナダのセキュリティ研究機関Citizen Labは、ワシントンD.C.の市民組織職員のiPhoneを調査する中で、新たなゼロクリック脆弱性「BLASTPASS」を発見しました。

この脆弱性は、ユーザーが何も操作しなくてもiMessage経由で送られた画像付きのPassKitファイルを処理するだけで、iOS 16.6を含む最新のiPhoneがマルウェア「Pegasus」に感染してしまうものでした。

Appleはすぐにセキュリティアップデートを公開し、対象ユーザーにはロックダウンモードの有効化も推奨しています。

参照：Citizen Lab「BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild」

5.ゼロデイ攻撃から守るための具体的な3つの対策

ゼロデイ攻撃から身を守るための具体的な対策は、大きく分けて3つあります。

• 振る舞い検知の活用
• ソフトウェアの脆弱性管理とセキュリティパッチの適用
• サプライチェーンのセキュリティ強化

対策を知らないままでは、攻撃に気づかずに情報を盗まれたり、大切なシステムが停止してしまうリスクが高まります。

順番に見ていきましょう。

(1)振る舞い検知の活用

ゼロデイ攻撃に対して有効な対策のひとつが、「振る舞い検知」と呼ばれる技術です。

振る舞い検知とは、パソコンやソフトの動きを常に見張り、普段と違う不自然な挙動を自動的に見つけ出す仕組みです。

従来のウイルス対策ソフトは、過去に知られているウイルスの型（パターン）と照らし合わせて検出します。

しかしゼロデイ攻撃は、まだ世の中に知られていない新しい手口を使うため、そうしたパターンでは見つけられないことが多くあります。

そのため、異常なファイルの動作や、不審な通信、勝手に起動されるプログラムなどを「動きそのもの」から検知できる振る舞い検知が必要とされているのです。

このような仕組みを持つEDR（エンドポイント検知・対応）やNGAV（次世代ウイルス対策）などの導入により、未知の攻撃にも柔軟に対応できるようになります。

(2)ソフトウェアの脆弱性管理とセキュリティパッチの適用

ソフトウェアの脆弱性を正しく把握し、修正プログラム（セキュリティパッチ）をすばやく適用することがゼロデイ攻撃には有効です。

脆弱性を放置したまま使い続けると、その間に攻撃者に狙われるリスクが高まります。

すべてのソフトウェアには、予期せぬ不具合や設計上の問題が発見されることがあります。

これらの脆弱性に対して、開発元は修正パッチを提供しますが、それをユーザー側で適用しなければ意味がありません。

とくに業務用のシステムや古いソフトは、更新作業が後回しにされやすく、攻撃者にとって格好の標的になってしまいます。

そのため、ソフトウェアの自動更新の設定やパッチ適用をサポートする管理ツールの活用が有効です。

ゼロデイ攻撃を完全に防ぐことはできませんが、日々の脆弱性の管理と迅速なパッチ適用によって、被害の可能性を大きく下げることができます。

(3)サプライチェーンのセキュリティ強化

ゼロデイ攻撃から組織を守るには、自社だけでなくサプライチェーン全体のセキュリティにも目を向けましょう。

なぜなら、取引先や外部サービスの脆弱性がきっかけで、自社にまで被害が及ぶケースが増えているからです。

たとえば、開発委託先のソフトにゼロデイ脆弱性があれば、そこを通じて重要な情報に不正アクセスされる可能性もあります。

こうしたリスクを減らすには、まず「SBOM（ソフトウェア部品表）」を活用し、使っているソフトの中身や構成を正確に把握することが有効です。

さらに、取引先を選ぶ段階でセキュリティ基準を定めたり、契約書に安全対策の取り決めを明記したりすることも大切です。

自社だけで守れる範囲には限界があります。

だからこそ、サプライチェーン全体でセキュリティ意識を共有し、連携して守る仕組みづくりが重要なのです。

6.まとめ

今回は、ゼロデイ攻撃の基本的な仕組みから、代表的な手口、実際に発生した被害事例、そして企業が抱えるリスクやその対策までを幅広く解説しました。

ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから修正されるまでの「ゼロ日（0day）」の間に仕掛けられる攻撃であり、非常に防ぎにくく、気づきにくいという特徴があります。

被害を防ぐためには、「自社には関係ない」と油断せず、ゼロデイ攻撃を正しく理解し、今できるところから対策を始めることが大切です。

この記事をきっかけに、ぜひ自社のセキュリティ体制を見直してみてください。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する