たまに役立つセキュリティ豆知識 第118回

弱点を克服する前にバレちゃった

「ゼロデイ」攻撃は何がゼロなの？

周知されていない脆弱性を突く攻撃は対策が難しい

修正プログラム未公開の「無防備な期間」を突くサイバー攻撃

Ｑ：「ゼロデイ」ってなに？

Ａ：修正プログラムが公開されていない脆弱性の状態。

　ソフトウェアやハードウェアの脆弱性が発見された直後で、修正プログラムが未公開である状態を指す。脆弱性の修正手段が確立されるまでの期間が「0日」であることから「ゼロデイ（Zero-day）」と呼ばれる。その状態で実行されるサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。

　ゼロデイ状態では、開発者やベンダーが脆弱性への対応が間に合っていない、もしくは脆弱性を認識していないケースがある。サイバー攻撃者はそれらの脆弱性を発見すると、修正プログラムが公開されていない無防備な状態を狙って攻撃を実行する。

　攻撃者は、その脆弱性を持ったソフトウェアを採用している（可能性がある）企業や組織を狙う。その際、OSやWebブラウザといったユーザーの多いソフトほど、ゼロデイ攻撃のコストパフォーマンスは向上する。

　修正プログラムが提供されていない状況のため、ゼロデイ攻撃への対策は難しいが、多層的な防御によって予防措置を図ることは可能だ。その1つが「EDR（Endpoint Detection and Response）」や「IDS/IPS（Intrusion Detection System／Intrusion Prevention System）」の導入である。

　EDRは端末の挙動を継続的に監視し、IDS/IPSはネットワークの通信状況を監視することでそれぞれゼロデイ攻撃による異常な通信や攻撃の兆候を検知、不正な通信を自動的に遮断する。

　もちろん、日常的な情報収集によって脆弱性の情報を把握し、ゼロデイ攻撃が発生した場合に迅速に対応することも重要だ。