ゼロデイ脆弱性：その定義と事例を紹介

ゼロデイ脆弱性とは、ソフトウェアまたはハードウェアにおけるサイバーセキュリティ上の脆弱性（バグ、暗号化の欠如、認証の欠落など）のことで、英語で「0day」や「zeroday」とも表記されます。

ゼロデイとは、脆弱性の修正に関心があるソフトウェア開発者や、システムやソフトウェアなどのIT製品を販売するベンダーなどがまだ把握していない状態の脆弱性を指します。ゼロデイという名称は、ソフトウェア開発者やベンダーがその脆弱性を認識していた期間が0日間であることから来ています。つまり、すでに使用されているソフトウェアにおいて、脆弱性を修正するための時間が実質的にない状態を指すのです。

ゼロデイ攻撃とは、簡単に説明すると、ソフトウェアの脆弱性が発見された直後、その脆弱性が修正される前に行われるサイバー攻撃のことです。つまり、セキュリティの穴が見つかってもまだ修正されていないうちに、その弱点を突いて攻撃することを指します。

一般的にソフトウェアやハードウェア内で誰かしらによってゼロデイ脆弱性が発見された場合は、ソフトウェア開発者に報告されて修正されるという流れです。しかし残念ながら、開発者などが脆弱性を修正する前にハッカーが先に脆弱性を発見し、悪用してしまうこともあります。

具体的には、サイバー犯罪者達は、ソフトウェアやハードウェアのセキュリティ上の欠陥や脆弱性を見つけ出して修正する前に悪用することでバックドアの設置やマルウェアの注入、機密情報の窃取など不正行為を実行します。ひとたび、ゼロデイ攻撃が成功してしまうと、ソフトウェアやシステムにアクセスできるようになるだけでなく、ユーザーの個人情報を盗み出すために違法な目的に利用される危険性があります。

こちらではゼロデイ脆弱性が持つ危険性について紹介します。

さまざまなサイバー攻撃の中でもゼロデイ攻撃の特徴は、サイバー犯罪者だけがその脆弱性を知っているという点です。脆弱性の存在を知っているのはサイバー犯罪者だけなので、たとえ攻撃されたとしても明確な防御策がないため、彼らはより効果的な攻撃を仕掛けることができてしまいます。

また、オンライン上のセキュリティが脆弱な大きな企業や組織から利益を得ようとするのはハッカーだけではありません。政治的・社会的活動への注目を集めるためにハッキングやサイバー攻撃を行なうハクティビストや、世界各地の諜報機関もゼロデイ脆弱性を悪用してさまざまな攻撃を実行しています。

サイバー犯罪者は、OSやウェブブラウザ、アプリ、ハードウェア、ファームウェア、さらには自宅の家電製品などでも利用されているIoTシステムまでも狙い、ゼロデイ攻撃を行います。そして、大企業などの組織をはじめ、政府機関、重要インフラ、研究機関や大学、知名度のある個人、特に貴重な機密情報を所有していたり、脆弱なシステムにアクセスできる人物らがゼロデイ攻撃を仕掛ける主なターゲットです。

そして、サイバー犯罪者達はゼロデイ攻撃の際にソーシャルエンジニアリング攻撃やいくつかの種類のランサムウェア攻撃、さまざまな種類のコンピューターウイルスに感染させるなど他の攻撃手法と併用している場合があります。

以下では、ゼロデイ脆弱性が発見される主な方法について解説します。

通常、ゼロデイ脆弱性の発見には、高度なセキュリティ監視と脅威分析が不可欠であり、サイバーセキュリティを専門とする企業などの研究者や個人が脆弱性を発見しています。その後、彼らは自社製品のセキュリティ上の欠陥について開発者やベンダーに通知することで、その脆弱性に対して修正などしています。企業によっては、自社製品の欠陥を発見した人に報奨金を与えるバグ報奨金プログラムを導入しているところもあります。

一方では、サイバー犯罪者が先に脆弱性に辿り着いてしまう場合もあります。彼らはダークウェブ上でゼロデイ脆弱性に関する情報を販売し、さらにはオンライン上のサイバーセキュリティに関する掲示板やソーシャルメディア等で脆弱性に関する情報を共有しています。

サイバーセキュリティ業界では、オンライン上のさまざまな問題を解決するために、CVE（Common Vulnerabilities and Exposures）と呼ばれるデータベースに脆弱性に対する情報を集約しています。これによって仮にゼロデイ脆弱性が発見されても修正方法がわかれば、それはもはやゼロデイの脅威ではなくなります。

最近、ゼロデイ脆弱性に関連したさまざまな事件が起きていますが、以下では3つの大規模な事件例を紹介します。

2014年に起きたソニーのハッキング事件もゼロデイ攻撃による有名な事件のひとつです。この事件は、悪意のあるハッカーがソニーピクチャーズのゼロデイ脆弱性を利用してハッキングを試みて同社のネットワークに侵入し、データを盗み出し、今後公開予定の映画のコピーや会社の将来計画、ビジネス取引、ソニー上層部の電子メールなど、非常に機密性の高い情報を公開しました。

このハッカー達が具体的にどのような脆弱性を利用したのかは、現在もわかっていません。

2020年、Zoomの2種類の深刻なゼロデイ脆弱性が標的とされました。ひとつはWindows上のZoomチャットで悪意のあるリンクを経由して認証情報が盗まれる可能性があるものです。

もうひとつはMacの脆弱性で、サイバー犯罪者はルートアクセス権を取得することでユーザーのマイクとカメラを制御できるというもので、Zoomはすぐに修正版をリリースすることで対応しました。

2021年、Google Chromeでは3つのゼロデイ脆弱性に対する緊急パッチを発行しました。そのうちのひとつは、影響を受けたシステム上でリモートでのコード実行やDDoS攻撃を可能にする危険性の高いものでした。また、Google Chrome では翌2022年にものゼロデイ攻撃を受けています。

最後に各企業がゼロデイ攻撃を回避するための方法をまとめました。

• 早急にソフトウェアをアップデートする：ソフトウェアのアップデートには、重要な脆弱性に対するパッチが含まれている場合がよくあるので、最新版がリリースされた場合はできるだけ早急にアップデートするようにしましょう。
• 常に最新情報を入手する：使用しているソフトウェアやアプリが被害に遭わないためにも、常に最新の情報を入手するようにアンテナを張っておきましょう。
• フィッシング詐欺に注意する：ゼロデイ攻撃の中には、フィッシング詐欺など他の攻撃と組み合わせて初めて機能するものもあります。見知らぬリンクやメールの添付ファイルを開くこと、サイバー犯罪者に機密データを提供してしまう危険性があるので、絶対にクリックしないようにしましょう。
• VPNを使用する：VPNとは何かというと、仮想プライベートネットワークの略称で、VPNに接続されているすべてのデバイスでのインターネットトラフィックを暗号化することで外部から通信内容や機密情報が見られないように保護できます。

また、VPN業界の中でも優れたセキュリティ機能を提供しているNordVPNには、脅威対策Pro機能が搭載されているため、悪意のあるマルウェアが仕込まれたフィッシングサイトを事前にブロックしたり、ダウンロードファイルをスキャンすることでマルウェアに感染しているファイルを特定します。さらには、クリックするとスパイウェアやマルウェアを拡散することで知られているポップアップ広告を停止する機能もあるので安心です。

このようにゼロデイ攻撃を回避するための鍵は、上記の対策を実行しながら常にお使いのデバイスやアプリを監視し、事前に検知することが重要です。