IT用語集 2024/11/14

ゼロクリック攻撃とは？ 10分でわかりやすく解説

コラム

ゼロクリック攻撃は、利用者がリンクをクリックしたり、添付ファイルを開いたりしなくても、OSやアプリの脆弱性を悪用されて不正な処理が実行される攻撃です。メッセージ受信、通知、プレビュー、画像や動画の解析など、端末やアプリが自動的に行う処理が狙われます。利用者の注意だけでは防ぎにくいため、OS・アプリの更新、権限の最小化、端末監視、通信制御、初動対応の手順化を組み合わせて備える必要があります。

ゼロクリック攻撃とは

ゼロクリック攻撃とは、利用者による明示的な操作を必要とせず、ソフトウェアの脆弱性を悪用して端末やアプリに不正な処理を実行させる攻撃です。典型的には、メッセージアプリ、通話アプリ、メールクライアント、ブラウザ、画像や動画の解析処理などが攻撃対象になります。

通常のフィッシング詐欺やマルウェア感染では、利用者にリンクを開かせる、添付ファイルを実行させる、認証情報を入力させるといった操作を促す場合が多くあります。ゼロクリック攻撃では、そのような操作がなくても、端末側の自動処理を悪用される点が異なります。

ゼロクリック攻撃が危険視される理由

ゼロクリック攻撃が危険視される理由は、利用者の判断に依存しない点にあります。怪しいリンクを開かない、添付ファイルを実行しないといった教育は有効ですが、ゼロクリック攻撃では、それだけでは防御範囲が不足します。

利用者が攻撃のきっかけを認識しにくい
注意喚起や訓練だけでは防ぎきれない
攻撃後の痕跡が少ない場合がある
端末やアプリの未修正脆弱性を悪用される
高価値の端末や特定個人を狙う標的型の攻撃に使われることがある

このため、ゼロクリック攻撃への対策では、利用者教育よりも、端末管理、パッチ適用、権限制御、ログ監視、異常通信の検知が中心になります。

ゼロクリック攻撃の仕組み

ゼロクリック攻撃は、端末やアプリが受信データを自動的に処理する仕組みを悪用します。例えば、メッセージのプレビュー、画像のサムネイル生成、動画や音声の解析、フォントや文書ファイルの読み込み、通知表示などです。

攻撃者は、脆弱性を誘発する形式のデータを送り込みます。端末側の処理に欠陥があると、利用者が操作していないにもかかわらず、メモリ破壊、権限昇格、不正コード実行、情報窃取などにつながる場合があります。

ゼロクリック攻撃は、ゼロデイ脆弱性と組み合わせて使われることがあります。ただし、両者は同じ意味ではありません。ゼロデイ脆弱性は、修正プログラムが提供される前、または一般に知られる前の脆弱性を指します。ゼロクリック攻撃は、利用者の操作なしで攻撃が成立する攻撃形態を指します。

ゼロクリック攻撃と近い攻撃手法の違い

ゼロクリック攻撃は、他の攻撃手法と混同されやすい用語です。違いを整理すると、対策の優先順位を決めやすくなります。

ゼロクリック攻撃	利用者のクリックやファイル実行がなくても、受信処理や表示処理などの自動処理を悪用して成立する攻撃。
ゼロデイ攻撃	修正前または未公表の脆弱性を悪用する攻撃。クリックが必要な場合も、不要な場合もある。
スピアフィッシング	特定の組織や個人を狙い、リンク、添付ファイル、偽サイトなどで操作を誘導する攻撃。
水飲み場攻撃	標的がよく利用するWebサイトを改ざんし、アクセスした標的を攻撃する手法。表示処理の脆弱性を悪用する場合はゼロクリックに近い形で成立することがある。

スピア・フィッシングは、標的に操作を促す手法です。一方、ゼロクリック攻撃は、操作なしで攻撃が成立し得る点に特徴があります。また、水飲み場攻撃は、標的を誘導する作戦であり、ゼロクリック攻撃は成立条件を表す言葉です。

ゼロクリック攻撃の種類と特徴

ゼロクリック攻撃は、どの処理を悪用するかで整理すると理解しやすくなります。主な対象は、受信処理、プレビュー処理、表示処理、ファイル解析処理です。

メッセージアプリや通話アプリの受信処理

メッセージアプリや通話アプリは、受信したデータを自動的に解析し、通知、プレビュー、メタデータ取得、添付ファイル処理などを行います。この処理に脆弱性があると、利用者がメッセージを開いていなくても攻撃が成立する場合があります。

この種の攻撃は、標的の電話番号、アカウントID、メッセージアプリの識別情報が分かっている場合に使われることがあります。高価値の個人、経営層、政府関係者、報道関係者、研究者などが狙われるケースでは、商用スパイウェアと組み合わせられることがあります。

メールのプレビューや自動解析を狙う攻撃

メールでは、本文のプレビュー、添付ファイルの事前解析、画像表示、リンク展開などが自動的に行われる場合があります。メールクライアントや関連ライブラリに脆弱性があると、明示的に添付ファイルを開いていない段階で影響が出ることがあります。

ただし、リンクをクリックさせる、添付ファイルを開かせる、マクロを実行させる攻撃は、通常はゼロクリック攻撃とは分けて扱います。メールを使う攻撃であっても、利用者操作が必要かどうかを確認する必要があります。

ブラウザやWebViewの表示処理を狙う攻撃

ブラウザやWebViewは、HTML、CSS、画像、動画、JavaScript、フォントなど、多くのデータを解析します。表示処理に脆弱性があると、ページを表示しただけで不正な処理が実行される場合があります。

この攻撃は、改ざんされたWebサイト、広告配信、メッセージ内のプレビュー、アプリ内ブラウザなどを通じて成立する可能性があります。ブラウザやOSの更新が遅れている端末では、既知脆弱性を悪用されるリスクが高くなります。

画像・動画・フォントなどの解析処理

画像、動画、フォント、文書ファイルなどは、端末やアプリが内部で解析します。解析ライブラリに脆弱性がある場合、攻撃用に細工されたデータを受け取るだけで不正な処理が実行されることがあります。

この領域では、利用者がファイルを開いたという認識を持つ前に、サムネイル生成、プレビュー、メタデータ抽出などが行われることがあります。そのため、ファイルを開かないという注意だけでは不十分な場合があります。

ゼロクリック攻撃への対策

ゼロクリック攻撃は利用者の判断に依存しないため、対策は端末・アプリ・ID・通信・監視を組み合わせます。優先順位は、更新、権限制御、端末防御、通信監視、初動対応の順で整理します。

OSとアプリを更新する

ゼロクリック攻撃の多くは脆弱性を悪用します。したがって、OS、ブラウザ、メールアプリ、メッセージアプリ、通話アプリ、セキュリティ製品を更新し、既知脆弱性を残さないことが基本になります。

OSと主要アプリの自動更新を有効にする
業務端末では、更新期限と例外申請の手順を定める
サポート終了OSや更新停止アプリを棚卸しし、利用停止または代替へ移行する
高リスク利用者の端末は、更新状況を管理者側で確認する

脆弱性診断や注意喚起だけでは、未修正の端末を保護できません。更新できない端末がある場合は、接続制限、権限制限、ネットワーク分離、監視強化を代替策として適用します。

権限を最小化する

ゼロクリック攻撃を完全に防ぐことは困難です。そのため、攻撃が成立した場合でも、取得される情報や横展開の範囲を抑える設計が必要になります。

日常利用で管理者権限を使わない
アプリに付与する連絡先、写真、マイク、カメラ、位置情報の権限を必要最小限にする
業務データへのアクセス権限を職務単位で分ける
不要なアプリ、拡張機能、プロファイルを削除する
端末紛失や侵害時に、アカウント停止やリモートワイプを実行できるようにする

最小特権の原則に沿って権限を制限すると、端末侵害後に取得される情報や追加操作を抑えやすくなります。

多層防御を構成する

単一の対策でゼロクリック攻撃を防ぎきることはできません。端末、通信、ID、データの各層で防御を分けます。

端末防御	EDR、MDM、モバイル脅威防御などで、不審なプロセス、権限昇格、設定変更を確認する。
通信防御	DNSフィルタリング、プロキシ、ファイアウォール、通信ログで、不審な宛先への接続を監視・制御する。
ID防御	多要素認証、条件付きアクセス、セッション管理で、端末侵害後のアカウント悪用を抑える。
データ防御	暗号化、アクセス制御、持ち出し制御、ログ記録で、重要データへのアクセス範囲を制限する。

多層防御では、侵害を完全に防ぐ前提ではなく、侵害後の通信、権限利用、情報取得、横展開を複数の段階で止める設計にします。

メール・メッセージ環境を見直す

メールやメッセージアプリは、ゼロクリック攻撃の対象になり得る処理を多く持ちます。業務影響を確認しながら、不要な自動処理や不要アプリを減らします。

メールプレビュー、自動ダウンロード、自動画像表示の設定を確認する
不要なメッセージアプリや拡張機能を削除する
添付ファイルやリンクを隔離環境で確認する運用を整える
高リスク利用者には、端末分離や専用端末を検討する
業務で利用するアプリを限定し、非公式アプリの利用を制限する

禁止だけで統制すると、業務上の回避策が増えます。利用を認めるアプリ、禁止するアプリ、例外申請の条件、端末要件を明文化します。

高リスク利用者の端末管理を強化する

ゼロクリック攻撃は、特定の個人を狙う標的型の攻撃で使われることがあります。経営層、役員、研究開発部門、法務、広報、M&A担当、政府・重要インフラ関連業務の担当者などは、一般利用者よりも厳しい端末管理を検討します。

管理対象端末の利用を必須にする
OSとアプリの更新状況を集中管理する
業務アカウントへのアクセスを条件付きアクセスで制御する
個人用メッセージアプリと業務データの接点を減らす
不審な端末挙動や通信が発生した場合の連絡手順を共有する

高リスク利用者については、利便性だけでなく、端末の構成、通信先、利用アプリ、ログ取得、インシデント時の回収手順まで含めて管理します。

ゼロクリック攻撃の検知と初動

ゼロクリック攻撃は、利用者の申告だけでは発見が遅れる場合があります。検知では、端末、通信、認証、設定変更のログを組み合わせ、通常と異なる挙動を確認します。

検知で確認する観点

端末	不自然なプロセス起動、権限昇格、保護機能の無効化、設定変更、異常終了、未知アプリの追加を確認する。
通信	普段利用しない宛先、短時間の多数接続、海外宛通信、未知ドメインへの接続、深夜帯の通信増加を確認する。
認証	認証失敗の増加、不審な地域からのログイン、セッションの異常、MFA通知の増加を確認する。
設定変更	プロファイル追加、証明書追加、管理設定変更、ログ取得無効化、バックアップ設定変更を確認する。

単発のアラートだけで判断するのではなく、端末の状態、通信先、認証ログ、直近の更新状況を時系列で確認します。平時のベースラインを把握していないと、異常な挙動を判断しにくくなります。

初動で実施すること

ゼロクリック攻撃が疑われる場合は、証跡を失わないようにしながら、被害拡大を止めます。初動手順は事前に決めておく必要があります。

対象端末をネットワークから切り離す
端末ログ、通信ログ、認証ログ、管理ログを保全する
業務アカウントのセッションを無効化し、パスワード変更とMFA設定を確認する
同じ兆候が他端末や他アカウントにないか確認する
MDM、EDR、SOC、端末ベンダー、外部専門家へ必要に応じて連携する
影響範囲、対象データ、利用者影響、社外報告の要否を確認する

端末を初期化するだけでは、攻撃経路や影響範囲が分からないままになる場合があります。先にログと証跡を保全し、必要に応じてフォレンジック調査を行います。

ゼロクリック攻撃対策の確認項目

更新管理	OS、ブラウザ、メール、メッセージアプリ、通話アプリを更新し、更新できない端末の例外を管理する。
端末管理	MDM、EDR、端末設定管理により、利用アプリ、権限、構成変更、保護機能の状態を確認する。
権限制御	アプリ権限、管理者権限、業務データへのアクセス権限を最小限にする。
ID保護	MFA、条件付きアクセス、セッション管理により、端末侵害後のアカウント悪用を抑える。
通信監視	未知ドメイン、不審な宛先、通常と異なる通信量、海外宛通信などを確認できるようにする。
初動対応	端末隔離、ログ保全、アカウント保護、横展開確認、外部連携の手順を整える。

まとめ

ゼロクリック攻撃は、利用者のクリックや添付ファイル実行を必要とせず、OSやアプリの自動処理を悪用して不正な処理を実行させる攻撃です。メッセージ受信、メールプレビュー、ブラウザ表示、画像・動画・フォント解析などが対象になります。

対策の中心は、利用者への注意喚起ではなく、OSとアプリの更新、最小権限、端末管理、通信監視、ID保護、初動手順の整備です。高リスク利用者の端末では、更新状況、利用アプリ、通信先、ログ取得、インシデント時の回収手順まで含めて管理します。ゼロクリック攻撃を完全に排除することは難しいため、侵害を受けにくくし、侵害後の被害範囲を抑え、早期に検知して切り離す設計が必要です。