ゼロデイ脆弱性とは？ わかりやすく10分で解説

ゼロデイ脆弱性とは

ゼロデイ脆弱性とは、製品ベンダーや防御側がまだ十分に把握していない、または修正プログラムが提供される前に悪用される脆弱性です。対象はソフトウェアだけではなく、OS、ブラウザ、ネットワーク機器、クラウドサービス、ファームウェア、ハードウェアにも及びます。防御側が修正・検知・遮断の準備を整える前に攻撃が成立するため、一般的なパッチ運用だけでは対応しきれない点が問題になります。

「ゼロデイ」という表現は、脆弱性が悪用または公開された時点で、開発元や利用者側に準備期間がない状態を指します。厳密には、未修正の欠陥そのものをゼロデイ脆弱性、その脆弱性を悪用するコードや手法をゼロデイエクスプロイト、実際の攻撃をゼロデイ攻撃と分けて考えます。

ゼロデイ脆弱性と通常の脆弱性の違い

通常の脆弱性は、情報が公表され、ベンダーの修正プログラムや回避策が用意されている状態です。一方、ゼロデイ脆弱性は、修正プログラムがない、または防御側の情報が不足している状態で悪用されます。

ゼロデイ脆弱性と混同しやすい概念に、Nデイ脆弱性があります。Nデイ脆弱性は、情報や修正プログラムが公開された後も未適用の環境に残る脆弱性です。ゼロデイとは異なり、対処情報は存在しますが、攻撃者も公開情報を見て攻撃コードを作成できるため、放置すると被害が拡大します。

ゼロデイ脆弱性が生まれる背景

ゼロデイ脆弱性は、設計、実装、設定、依存関係、製品連携の不備から発生します。入力値の検証不足、メモリ管理の欠陥、認証・認可処理の不備、権限昇格につながる設計、外部ライブラリの欠陥などが代表例です。

また、クラウドサービス、VPN、ルーター、セキュリティ製品、ファイル転送製品のように、外部から到達できる製品では、単一の脆弱性が組織内ネットワークへの侵入につながる場合があります。近年は、利用者端末だけでなく、企業が管理するネットワーク機器やセキュリティ製品を狙う攻撃も目立ちます。

ゼロデイ脆弱性の特徴

• 修正前に悪用される：正式なパッチや回避策が出る前に攻撃が成立する場合があります。
• 既知の検知ルールだけでは捕捉しにくい：攻撃コードや通信パターンが公開されていないため、シグネチャ検知だけでは不足します。
• 攻撃後に存在が判明する場合がある：侵害調査や攻撃キャンペーンの分析で、未知の脆弱性が初めて特定されることがあります。
• 影響範囲の把握に時間がかかる：対象製品、バージョン、設定、侵害経路、攻撃者の操作内容を確認するまで対処範囲を確定しにくい状態になります。

ゼロデイ脆弱性とサイバー攻撃

ゼロデイ脆弱性は、サイバー攻撃の初期侵入、権限昇格、認証回避、任意コード実行、情報窃取に使われます。攻撃者は、未修正の状態を利用して、通常の検知や防御を回避しようとします。

ゼロデイ攻撃の主な手法

ゼロデイ攻撃の手法は、標的となる製品や攻撃者の目的によって異なります。代表的なパターンは次のとおりです。

• ブラウザや文書閲覧ソフトの脆弱性を使い、悪意あるWebページやファイルを開いた利用者端末でコードを実行する
• VPN機器、ルーター、ファイル転送製品などの外部公開製品を悪用し、認証情報の窃取や内部侵入につなげる
• WebアプリケーションやAPIの未知の欠陥を使い、認証回避、情報取得、管理機能の不正操作を行う
• OSやドライバの脆弱性を使い、侵入後に権限昇格やセキュリティ製品の停止を試みる
• サプライチェーン攻撃の一部として、開発・配布・更新の経路を侵害する

狙われやすい環境

ゼロデイ攻撃は、どの環境でも発生し得ます。ただし、次の条件が重なる環境では、侵害時の影響が大きくなります。

• インターネットから到達できるVPN、リモートアクセス、管理画面、ファイル転送製品がある
• 古いOS、サポート終了製品、更新されていないファームウェアを使っている
• 管理者権限が広く付与され、侵害後に横展開しやすい
• ログ取得、監視、アラート、初動対応の手順が未整備である
• バックアップがネットワーク上に常時接続され、ランサムウェア被害時に同時に暗号化される

近年の傾向

ゼロデイ攻撃は、従来のブラウザやモバイルOSだけでなく、企業向けのネットワーク機器、セキュリティ製品、ファイル転送製品、クラウド連携製品にも向かっています。これらの製品は、外部接続、認証、通信制御、管理者権限を扱うため、侵害されると広い範囲へ影響が及びます。

そのため、ゼロデイ脆弱性対策では、利用者端末だけでなく、外部公開資産、境界機器、管理者向けシステム、クラウド連携基盤を資産台帳に含めます。EDRが入っていない機器やログ取得が難しいアプライアンスも、監視対象として扱う必要があります。

ゼロデイ脆弱性への基本対策

ゼロデイ脆弱性は、存在を事前に完全把握できません。対策では、未修正の脆弱性が悪用される前提で、攻撃機会を減らし、検知を早め、侵害後の拡大を抑える設計を取ります。

資産管理と攻撃面の削減

最初に行うべきことは、自社が何を公開し、どの製品・バージョン・設定で運用しているかを把握することです。資産台帳がなければ、ベンダーの注意喚起が出ても、自社への影響を判断できません。

• 外部公開システム、VPN、管理画面、API、クラウドサービスを棚卸しする
• 製品名、バージョン、ファームウェア、公開範囲、管理者、委託先を記録する
• 不要な公開ポート、未使用機能、古いプラグイン、サポート終了製品を停止または撤去する
• 管理画面はインターネットへ直接公開せず、接続元制限や多要素認証を適用する

パッチ適用と暫定回避策

ゼロデイ脆弱性は、パッチ公開後には既知の脆弱性として扱われます。ここで対応が遅れると、攻撃者は公開情報やPoCを使って未対応環境を狙います。

• ベンダーのセキュリティアドバイザリ、JPCERT/CC、JVN、CISA KEVなどを確認する
• 実際に悪用が確認された脆弱性、外部公開システム、管理者権限に関わる脆弱性を優先する
• パッチをすぐ適用できない場合は、機能停止、アクセス制限、ルール追加、監視強化などの暫定回避策を適用する
• 例外対応には期限、理由、補完策、承認者、再評価日を記録する

多層防御

単一の製品でゼロデイ攻撃を防ぎ切る前提は危険です。複数の防御策を組み合わせ、攻撃の各段階で止める設計にします。

ログ監視とインシデント対応

ゼロデイ攻撃では、侵入を完全に防げない場合があります。初動を早めるには、ログを取得し、異常を検知し、対応手順へ接続します。

• 認証ログ、VPNログ、EDRログ、プロキシログ、DNSログ、クラウド監査ログを保全する
• 通常と異なる地域・時間帯・端末からのログインを確認する
• 管理者権限の変更、Webシェル設置、不審な外部通信、認証情報の大量試行を検知する
• SOCやCSIRTが、隔離、証拠保全、影響範囲調査、復旧、再発防止を実行できるようにする

主な対策技術の役割と限界

EDRの役割

EDRは、端末やサーバー上のプロセス、ファイル操作、通信、レジストリ変更などを監視し、既知のマルウェア名ではなく挙動から不審な活動を検出します。ゼロデイ脆弱性そのものを修正する製品ではありませんが、攻撃後に発生する権限昇格、横展開、コマンド実行、ファイル暗号化を検知する用途に適しています。

一方で、VPN機器や専用アプライアンスなど、EDRを導入できない機器もあります。端末防御だけではなく、ネットワークログ、機器ログ、認証ログ、外部公開資産の監視を組み合わせます。

サンドボックスの役割

サンドボックスは、不審なファイルやURLを隔離環境で実行し、通信、ファイル生成、プロセス起動などの挙動を確認します。メール添付、ダウンロードファイル、文書ファイルを使う攻撃では、実行前の判定に役立ちます。

ただし、解析環境を検知して挙動を変えるマルウェアや、一定時間後に動作する攻撃もあります。サンドボックスは有効な一層ですが、端末監視、メール対策、ユーザー教育、ログ分析と併用します。

WAFの役割

WAFは、Webアプリケーションへの不審なリクエストを検知・遮断します。SQLインジェクション、クロスサイトスクリプティング、パストラバーサルのような既知の攻撃パターンに加え、通常とは異なるリクエストを制御する用途があります。

ただし、WAFはアプリケーションの欠陥を修正するものではありません。未知の脆弱性を突く攻撃でも、リクエストの特徴がルールに合えば遮断できますが、すべての攻撃を防げるわけではありません。パッチ、コード修正、認証強化、ログ監視と併用します。

ゼロトラストとSASEの役割

ゼロトラストは、内部ネットワークを無条件に信頼せず、ユーザー、端末、アプリケーション、アクセス先、リスク状態に応じて継続的に検証する考え方です。ゼロデイ攻撃の侵入そのものを消すものではありませんが、侵害後の横展開、過剰権限の悪用、認証情報の再利用を抑える設計に役立ちます。

SASEやZTNAを利用する場合も、アクセス制御、ログ、端末状態、クラウド利用状況を継続的に評価します。製品導入だけで完結させず、例外権限、管理者アカウント、サービスアカウントの扱いを定期的に確認します。

ゼロデイ脆弱性対策の運用手順

平時に整備する項目

• 資産台帳、外部公開資産一覧、重要システム一覧を更新する
• ベンダーアドバイザリ、JPCERT/CC、JVN、CISA KEV、業界ISACなどの情報源を決める
• 重大脆弱性が出た場合の判断者、連絡先、停止判断、メンテナンス手順を決める
• EDR、WAF、IPS、ログ監視、バックアップの稼働状況を定期確認する
• ペネトレーションテストや脆弱性診断で、外部公開資産と認証・権限周りを確認する

注意喚起が出た直後の対応

ゼロデイ脆弱性の情報が公開された直後は、対処情報が更新されることがあります。まず、自社の該当有無と露出状況を確認し、攻撃の有無をログで確認します。

1. 対象製品、バージョン、設定、公開範囲を確認する
2. ベンダーのパッチ、回避策、IoC、調査手順を確認する
3. 外部公開中の対象機器や管理画面にアクセス制限を適用する
4. 過去ログを確認し、侵害の兆候がないかを調査する
5. パッチ適用後も、認証情報の漏えい、Webシェル、追加アカウント、設定変更を確認する

攻撃を受けた疑いがある場合

侵害が疑われる場合は、原因調査より先に被害拡大を止めます。対象機器の再起動や初期化を急ぐと、証拠が失われる場合があります。

• 対象端末・機器を隔離し、証拠保全の方針を決める
• ログ、メモリ、ディスク、設定、アカウント一覧、通信先を保全する
• 管理者アカウント、VPNアカウント、APIキー、証明書、トークンの悪用有無を確認する
• 侵入経路、横展開、情報持ち出し、永続化の有無を調査する
• 復旧後に、パッチ、設定変更、権限制御、監視ルール、再発防止策を反映する

今後のゼロデイ脆弱性対策

ゼロデイ脆弱性は今後もなくなりません。ソフトウェアの複雑化、クラウド利用、サプライチェーンの多層化、生成AIを使った開発支援により、把握すべき対象は増えています。防御側には、未知の欠陥を前提にした検知・封じ込め・復旧の設計が求められます。

AIと機械学習の活用

AIや機械学習は、ログ、通信、端末挙動から通常と異なるパターンを検出する用途で活用できます。未知の攻撃に対して、既知のシグネチャに依存しない分析を補助できる点は利点です。

ただし、AIはゼロデイ脆弱性を自動的に無効化するものではありません。学習データ、検知ロジック、誤検知、説明可能性、運用担当者の確認手順を含めて設計します。検知結果をチケット、隔離、調査、復旧へ接続できなければ、アラートが増えるだけで対応品質は上がりません。

XDRと統合監視

XDRは、端末、ネットワーク、メール、クラウド、IDのログを横断的に分析し、攻撃の流れを把握するための仕組みです。ゼロデイ攻撃では単一のログだけでは判断しにくいため、複数の観測点をつないで異常を判断するアプローチが機能します。

統合監視を導入する場合は、ログの範囲、保持期間、検知ルール、アラートの優先順位、対応手順を先に決めます。大量のアラートを出すことより、封じ込めまでの時間を短縮できる設計を優先します。

まとめ

ゼロデイ脆弱性は、修正プログラムや十分な防御情報がない段階で悪用される脆弱性です。未知である以上、完全な予防は困難です。対策では、資産管理、外部公開範囲の削減、暫定回避策、EDR、WAF、IPS、サンドボックス、ゼロトラスト、ログ監視、バックアップ、インシデント対応を組み合わせます。

パッチが公開された後は、ゼロデイ脆弱性は既知の脆弱性になります。その段階で対応が遅れると、Nデイ攻撃の対象になります。ゼロデイ対策の本質は、未知の攻撃を完全に予測することではなく、攻撃されても早く検知し、影響範囲を狭め、復旧できる運用を維持することです。

参考資料

• NIST CSRC Glossary「zero day attack」
• JPCERT/CC Eyes「脆弱性関連情報取扱制度の運用と今後の課題について（後編）」
• JPCERT/CC「脆弱性対策情報」
• IPA「情報セキュリティ10大脅威 2026［組織］」
• CISA「Known Exploited Vulnerabilities Catalog」
• Google Threat Intelligence Group「A 2024 Zero-Day Exploitation Analysis」

ゼロデイ脆弱性に関するよくある質問（FAQ）