ゼロデイ攻撃
定義
ゼロデイ攻撃とはベンダーがまだ把握していない、またはパッチを提供していない脆弱性を突いた攻撃で、「パッチDay 0以前から始まる」という意味で「ゼロデイ」と呼ばれます。パッチが存在しない段階では完全な防御は定義上できず、最も危険な脅威クラスの一つです。高価値なゼロデイは国家支援のAPTグループが諜報・妨害工作に使うほか、Zerodiumなどのゼロデイブローカーが数十万〜数百万ドルで売買しています。パッチがない段階での戦略は多層防御(EDRの異常挙動検知・ネットワークセグメンテーション・攻撃対象領域の縮小・仮想パッチ)で被害を最小化することです。CISAのKEV(Known Exploited Vulnerabilities)リストで実際に悪用が確認されたゼロデイを追跡でき、EPSS(Exploit Prediction Scoring System)スコアと組み合わせることで、現実的な優先対応が可能になります。
詳細解説
ゼロデイ脆弱性の市場価格はCVSSスコア・対象ソフトウェアの普及度・悪用難易度によって数十万〜数百万ドルに達することがあります。ベンダーへの脆弱性報告(責任ある開示)が完了するまでのエンバーゴ(公表禁止)期間は通常90日程度で、それ以前に悪用されることが問題になっています。
ポイント
- パッチがない段階では完全防御は困難 — 多層防御(Defense in Depth)で被害を最小化
- EDRの異常挙動検知で既知シグネチャがない攻撃でも検知できる場合がある
- 脅威インテリジェンスで「ゼロデイが流通している」情報を早期に把握する
- 攻撃対象領域の最小化(不要サービスの無効化・公開サービスの削減)が基本対策
関連用語
同じカテゴリの用語(攻撃手法)
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンと…
多数のホスト(ボットネット)から同時に大量のトラフィックを送り、標的サービスをダウンさせる攻撃。ボリューム型・プロトコル…
DNSリゾルバのキャッシュに偽の名前解決情報を注入し、正規ドメインへのアクセスを攻撃者が制御するサーバーに誘導する攻撃。…
攻撃者が通信キャリアのサポートに被害者を騙って電話番号を自分のSIMカードに移管させる攻撃。SMS認証(2FA)を乗っ取…
WebアプリケーションのSQLクエリに悪意のある入力を注入し、DBを不正操作する攻撃。プリペアドステートメントで根本的に…