ゼロデイ — パッチが間に合わない未公開脆弱性とその攻撃

ゼロデイ（zero-day、0-day）とは、ベンダーやコミュニティが公式パッチを提供する前の未公開脆弱性、またはそれを悪用する攻撃を指します。「対応に使える日数がゼロ」という意味合いから生まれた呼称で、イランの核施設を狙ったStuxnet（2010年公開）、ChromeやWindowsへの未公開脆弱性の連続発見、2021年のExchange ServerのProxyLogon、2024年のXZ Utilsサプライチェーン事件まで、国家・犯罪組織双方にとって最高値の戦略資産として扱われています。防御側がほぼ無防備な状況で発動する点で、サイバー脅威の中でも特に取り扱いが難しい領域です。

この記事の目次

1. 発見から公表までの闇市場
2. StuxnetからXZバックドアまで
3. 事前防御と脆弱性管理の総力戦
4. n-day・既知CVEとの違い
5. まとめ

発見から公表までの闇市場

ゼロデイの典型的なライフサイクルは、まず研究者やハッカーが未公開の脆弱性をリバースエンジニアリングやファジング、ソースコード監査で発見するところから始まります。そこからエクスプロイトコード（実際に侵入できる悪用コード）に仕上げる工程があり、Webブラウザのフルチェーン、モバイルOSのリモートゼロクリックなど高難度のものは数百万ドル単位の価値を持ちます。ZerodiumやCrowdfense、北米・欧州・イスラエルなどの民間業者・ブローカーが公開する買取価格表が、ゼロデイ市場の存在をかたちにする一例です。

悪用された脆弱性は、たいてい標的型攻撃やAPT（高度持続的脅威）作戦で限定的に使用された後、セキュリティベンダーや標的組織が捕捉し、ベンダーへ報告されてパッチが配布された段階で「ゼロデイ」を卒業します。公開後でもパッチ未適用環境にとっては当面ゼロデイと同様の脅威として残るため、公開直後の数日〜数週間は無差別攻撃に晒される「n-day exploitation」と呼ばれる時期に突入します。Project ZeroなどのリサーチチームやCVE採番機関、CISAの既知悪用脆弱性カタログ（KEV）が、状況把握と緊急対応の中心になります。

StuxnetからXZバックドアまで

ゼロデイの代名詞とされるのが、2010年に世界に存在を知られたマルウェア「Stuxnet」です。イランのナタンズ核燃料施設のウラン濃縮用遠心分離機を物理的に破壊する目的で設計され、Windowsの未公開脆弱性4件と、Siemens製PLCの正規署名証明書を悪用した複雑な構造を持ちます。米国とイスラエルが関与したとされ、サイバー兵器としてのゼロデイの破壊力と、国家アクターによる脆弱性備蓄の問題を初めて広く一般に意識させた事件として位置付けられています。

2021年3月にはMicrosoft Exchange Serverの「ProxyLogon」を含む4件のゼロデイがHafniumと呼ばれる中国系グループに悪用され、全世界の数万台のオンプレExchangeサーバが侵害されました。2024年3月にはオープンソースの圧縮ライブラリXZ Utilsに、長期にわたり信頼を獲得したメンテナを装ったアカウントから巧妙なバックドアコードが混入されていた事件が発覚し、サプライチェーン経由ゼロデイの恐ろしさを示しました。Chromeブラウザのゼロデイは年に十数件規模で発見され続けており、未公開脆弱性とその悪用は、現代のサイバー紛争・産業スパイの中心的舞台になっています。

事前防御と脆弱性管理の総力戦

ゼロデイは「未知のため検知できない」という性質上、固有のシグネチャに頼った対策は限界があります。現実的な防御の出発点は、攻撃面（アタックサーフェス）を最小化することです。不要なポート閉鎖、外部公開サービスの最小化、デフォルトでブラウザ・OSのサンドボックス機能を有効化、Office文書のマクロ既定無効化、特権アカウント分離など、「攻撃者が脆弱性を持ち込んでも刺さる先を減らす」設計が重要です。

公表後の対応速度を上げる体制も不可欠です。CISA KEVのような公的データソースを購読し、自社で利用中のソフトウェアと突き合わせて緊急パッチを数時間〜数日で適用できる運用基盤を整えます。EDRや挙動ベースの検知でゼロデイ的振る舞いを捕捉し、ネットワークセグメンテーションで横展開を遅らせます。自社プロダクトを持つ場合はバグバウンティを開設し、ゼロデイが闇市場ではなく自分たちに最初に届くチャネルを作ることも有効です。脅威インテリジェンスの活用、ペネトレーションテストの定期実施を含めた総力戦が現代のスタンダードになっています。

n-day・既知CVEとの違い

ゼロデイと混同されやすいのが「n-day」「既知CVE」「PoC」です。n-dayは、ベンダーがパッチを公開してからn日経過した既知脆弱性のことで、未適用環境の集団に対しては大規模に悪用される一方、防御側はパッチ適用という明確な解を持っています。既知CVEは番号が振られて公開された脆弱性全般で、ゼロデイの対義語に近い位置付けです。PoCはProof of Conceptの略で、脆弱性の存在を示す検証コードを意味し、必ずしも実戦投入可能なエクスプロイトとは限りません。

また「ベンダーには報告済みだがまだパッチが出ていない」状態も区別すべき段階です。責任ある開示（Responsible Disclosure）に従う研究者は90日程度の猶予を設けて公開し、Project Zeroなどは独自ポリシーで運用しています。ゼロデイは「世界の誰にもパッチを提供する手段が存在しない」段階の脆弱性を指す厳密な概念で、公表のされ方やパッチ提供のされ方、悪用主体の傾向によって、対策の優先順位と取りうる手段が大きく変わります。段階ごとに位置付けを意識すると、優先度判断が組織内で揃いやすくなります。

まとめ

ゼロデイはStuxnetからXZ Utils事件まで、サイバー紛争と産業スパイの最前線に立ち続ける厄介な脅威です。攻撃面の最小化、EDRや挙動検知、迅速なパッチ運用、バグバウンティと脅威インテリの活用を組み合わせ、「未知の刃が振られても刺さる先と動ける範囲を最小化する」総力戦の体制を整えることが、現実的な備えになります。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。