ゼロデイ脆弱性とは、開発者側がまだ認識できていなかったり、修正プログラムがリリースされていなかったりする脆弱性のことです。

ゼロデイ脆弱性を狙った攻撃を完全に防ぐことは難しいです。被害を最小限に抑えるためには、脆弱性の特性を理解した上で適切な対策を講じる必要があります。

本記事では、ゼロデイ脆弱性の概要や有効な対策を解説します。

また、ゼロデイ脆弱性を悪用したサイバー攻撃への対策として「LANSCOPE サイバープロテクション」を紹介しています。

企業・組織のセキュリティ強化を目指す担当者の方は、ぜひあわせてご確認ください。

ゼロデイ脆弱性とは​

ゼロデイ脆弱性とは、ソフトウェアやシステムに潜んでいるセキュリティ上の欠陥のうち、開発者や製造元がまだ把握していない欠陥のことを指します。

脆弱性を修正するためのプログラムの配布日を「1日目」とした場合、修正プログラムの配布前は「0日目（＝0day）」となることから、通常の脆弱性と区別して「ゼロデイ脆弱性」と呼ばれています。

修正プログラムが提供されるまでの期間は、システムが無防備な状態になってしまいます。

そのため、仮に攻撃者が開発者よりも先にゼロデイ脆弱性を発見してしまった場合、脆弱性をついてマルウェア感染や不正アクセスがおこなわれる危険性があります。

ゼロデイ脆弱性とゼロデイ攻撃の違い

ゼロデイ脆弱性は前述した通り、開発者や製造元が把握しておらず、修正プログラムが配布されていない脆弱性を指します。

一方でゼロデイ攻撃は、ゼロデイ脆弱性を悪用して実行される攻撃を指します。

つまり、「ゼロデイ脆弱性」はシステムやソフトウェアに存在する欠陥そのもの、「ゼロデイ攻撃」は攻撃手法を表すという違いがあります。

ゼロデイ脆弱性を発見する方法

ゼロデイ脆弱性を検出する方法としては、以下が挙げられます。

それぞれ簡単に紹介します。

コード分析

ソフトウェアのソースコードに潜むバグや脆弱性を洗い出す手法をコード分析と呼びます。

大規模な開発現場では、すべてのコードを人間が確認するのは現実的ではないため、専用の「静的解析ツール」や「コードチェッカー」といった自動分析ツールが活用されています。

ファジング

ファジングとは、開発段階のソフトウェアやシステムにおいて、潜在的な脆弱性やバグを検出するためのテスト手法です。

システムやソフトウェアに対して、「ファズ」と呼ばれる異常なデータやランダムなデータを送り込むことで、セキュリティ上の欠陥を検出します。

ペネトレーションテスト

ペネトレーションテストとは、稼働中のネットワークやシステムに対して、攻撃者の視点で侵入を試みる検査手法です。

「侵入テスト」とも呼ばれ、攻撃者と同じ視点で擬似的なサイバー攻撃を仕掛けることで、ネットワークやシステムの脆弱性を検証します。

ネットワーク、サーバー、アプリケーションといった複数のレイヤーに対してテストがおこなわれるため、単一のセキュリティ対策では見落とされがちな穴を浮き彫りにできます。

エムオーテックス株式会社（以下、MOTEX）では、実際に想定されるサイバー攻撃のシナリオを作成し、組織内システムの脆弱性や潜在的なリスクを特定する、高精度なペネトレーションテストも提供しています。

既存のセキュリティ機能の有効性や自社の脆弱性について知りたい方は、ぜひ「ペネトレーションテスト」の実施をご検討ください。

リバースエンジニアリング

リバースエンジニアリングとは、既存のソフトウェアやハードウェアを分解または解析することで、設計や動作の構造を明らかにし、潜在的な脆弱性を発見する方法です。

たとえばバイナリコードを解析することで、ソースコードの動作を把握できるようになり、脆弱性が検出できるようになります。

ゼロデイ脆弱性が悪用された事例

ゼロデイ脆弱性が悪用された事例を2件紹介します。

法人向けメールセキュリティサービスのゼロデイ脆弱性被害

2025年4月、国内の大手通信企業が提供する法人向けメールセキュリティサービスが不正アクセスを受け、大規模な情報漏洩事故が発生しました。

当該サービスで作成された電子メールのアカウント・パスワードや、当該サービスと連携して動作するように設定されていた他社クラウドサービスの認証情報などが漏洩したことが報告されています。

情報漏洩の対象になる契約は、586契約にのぼることがわかっています。

今回の不正アクセスの原因は、当該メールセキュリティサービスが使用していた第三者製ソフトウェアのゼロデイ脆弱性でした。

この脆弱性は不正アクセス発生から発覚のタイミングでは未発見のものであり、本事件を通じてはじめて明らかになったものだと報告されています。

なお、ゼロデイ脆弱性はソフトウェア製造元によってすでに改修されています。

内閣サイバーセキュリティセンター（NISC）のゼロデイ脆弱性被害

2023年8月、内閣サイバーセキュリティセンター（NISC）は、電子メールシステムに不正通信があり、約5,000人分の個人情報を含むメールデータが外部に流出した可能性があると発表しました。

具体的には、2022年10月から2023年6月までの間に、インターネットを経由してNISCとやりとりをした個人・組織のメールが流出した可能性があるとされています。

NISCは、本事件の原因を電子メール関連システムの機器に存在していたゼロデイ脆弱性であると発表しています。

個人情報の悪用などの被害は確認されなかったものの、8か月以上にわたりメールデータの一部が流出の危機にさらされる事態となりました。

ゼロデイ脆弱性への対策

ゼロデイ脆弱性を悪用した攻撃を完全に防ぐことは難しいです。

企業・組織は、被害を最小限に抑えるために、適切な対策を平時から講じ、セキュリティの強化を目指しましょう。

本記事では、ゼロデイ脆弱性への対策を6つ紹介します。

詳しく確認していきましょう。

多層防御の導入

多層防御とは、システム内の複数領域に防御層を設置し、サイバー攻撃から情報資産を守るセキュリティ体制のことです。

具体的には、ファイアウォールを設置して不正な通信を遮断する「入口対策」だけでなく、脅威が内部に侵入してしまった際に、被害の拡大を防ぐ「内部対策」や、重要な情報が外部に漏洩するのを防ぐ「出口対策」をあわせておこないます。

ゼロデイ攻撃のような高度なサイバー攻撃では、単一的な対策では十分でないため、複数のレイヤーにセキュリティ対策を実施する必要があります。

OS・アプリの最新化

修正プログラムが配布されているにもかかわらず、適用を後回しにしてしまうと、ゼロデイ攻撃をはじめとしたサイバー攻撃の標的となってしまいます。

そのため、OS・アプリなどは常に最新バージョンに更新することを徹底しましょう。

企業のシステム担当者は、各ソフトウェアの公式情報に目を配り、セキュリティパッチを速やかに社内へ適用できる体制を整えておく必要があります。

未知の脆弱性に対応できるアンチウイルスの導入

従来のアンチウイルスソフトは「パターンマッチング方式」といって、パターンファイルと呼ばれる過去に発見されたマルウェアの型を参考に、マルウェアを検知する仕組みを採用しています。

この方式では、既知のマルウェアは検知できますが、未知や亜種のマルウェアの検知は難しいという注意点があります。

ゼロデイ脆弱性を狙って侵入しようとするマルウェアは未知のマルウェアであることが多いため、パターンマッチングに頼らないアンチウイルスソフトの導入がおすすめです。

EDRの導入

ゼロデイ攻撃を未然に防ぐことは難しいため、「侵入される前提」で対策する必要があります。

そこで活用されるのが「EDR（Endpoint Detection and Response）」です。

EDRは、マルウェアが侵入した後の不審な挙動を監視し、検知・隔離・駆除などをおこなうセキュリティソリューションです。

攻撃者が内部に侵入しても、EDRがその動きを素早く把握することで、被害の拡大を食い止めることができます。

ネットワークセキュリティ製品の導入

ファイアウォールやIDS/IPS、NDRといったネットワークセキュリティ製品を導入することで、ゼロデイ脆弱性を突いた不正アクセスを、速やかに検知・ブロックできるようになります。

各製品の役割は以下の通りです。

複数のセキュリティ製品を組み合わせて活用することで、ネットワークを出入りする不正な通信を広範囲にわたり防御できるでしょう。

脆弱性診断の実施

脆弱性診断とは、システムやネットワーク・Webアプリケーションに存在する脆弱性を特定し、そのリスクを評価するものです。

定期的に脆弱性診断を実施することで、脆弱性を早期に発見し、悪用される前に修正することができます。

MOTEXでは、リピート率90%を誇る高品質な「脆弱性診断」を提供しています。

ネットワークやサーバー、Webアプリケーション、クラウドサービスなどの情報システム全体のリスクを診断し、脆弱性やハッキングを受ける可能性があるセキュリティホール、機密情報の持ち出しなどの内部不正といった、さまざまなセキュリティリスクの洗い出しが可能です。

「自社環境やサービスの脆弱性に懸念がある」「診断ツールではなく、プロの目による診断を受けたい」という企業・組織の方は、ぜひお問い合わせください。

ゼロデイ脆弱性を悪用した攻撃への対策なら「LANSCOPE サイバープロテクション」

ゼロデイ攻撃に使用される未知のマルウェアの検知・ブロックする方法として、「LANSCOPE サイバープロテクション」では、2種類のAIアンチウイルスを提供しています。

2種類のアンチウイルスソリューションの特徴を紹介します。

MDRサービス「Aurora Managed Endpoint Defense」

「Aurora Managed Endpoint Defense」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。

高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。

「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。 

セキュリティのスペシャリストが徹底したアラート管理をおこなうため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。

また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。

「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。 

各種ファイル・デバイスに対策できるNGAV「Deep Instinct」

「LANSCOPE サイバープロテクション」では、 AI（ディープラーニング）を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。

下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99％以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※

• 未知のマルウェアも検知したい
• 実行ファイル以外のファイル形式（Excel、PDF、zipなど）にも対応できる製品が必要
• 手頃な価格で高性能なアンチウイルスを導入したい

近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。

「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。

「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。

※Unit221B社調べ

マルウェアに感染した場合は「インシデント対応パッケージ」

「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。

「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。

また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。

インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。

まとめ

本記事では「ゼロデイ脆弱性」をテーマに、検出方法や対策を解説しました。

ゼロデイ脆弱性を悪用したサイバー攻撃は、未知のマルウェアが仕掛けられることも多く、完全に防ぐことは難しいです。

平時からセキュリティ強化を図り、被害を最小限に抑える体制構築を目指しましょう。

本記事で紹介した「LANSCOPE サイバープロテクション」のアンチウイルスは、AIの活用で、攻撃者が作成したばかりの未知のマルウェアであっても、ファイルの特徴から判定し、99%の高い検知率で企業をセキュリティリスクから守ることが可能です。※

用途に応じて適切な製品を検討し、ぜひ堅牢なセキュリティ構築を目指してください。

※Aurora Protect：2024年5月Tolly社のテスト結果より
※Deep Instinct：Unit221B社調べ

高度化・巧妙化が見られるマルウェアについて知りたい方に向けて資料もご用意しています。

本記事とあわせてぜひご活用ください。

《社員向けセキュリティ教育テスト付き》
情シスでも騙される！
近年のマルウェア感染手口7選

日々高度化・巧妙化が見られるマルウェア感染について、最新の手口を厳選して解説します。

資料をダウンロードする