「ゼロデイ攻撃」という言葉を耳にしたことはあっても、「どう対策すれば良いのかわからない」と頭を抱える情報システム担当者は少なくありません。
パッチすら存在しない脆弱性を突くゼロデイ攻撃は、従来のセキュリティ対策では検知・防御が極めて困難であり、KADOKAWAや名古屋港など国内の大手組織でも甚大な被害が発生しています。
本記事では、ゼロデイ攻撃の基本的な仕組みと検知が難しい理由を整理したうえで、企業が今すぐ実践できる対策7選と、万が一攻撃を受けた際の初動対応フローを徹底解説します。
自社のセキュリティ体制を見直すための具体的なロードマップとして、ぜひご活用ください。
目次
ゼロデイ攻撃とは?修正パッチ公開前の「ゼロ日目」に狙われる脅威
ゼロデイ攻撃とは、ソフトウェアやOSに存在する脆弱性が開発元(ベンダー)に発見・公表される前、あるいは修正パッチが提供されるより前の「防御できない空白の瞬間」を狙ったサイバー攻撃です。
「ゼロデイ(0日目)」という名称は、パッチが公開された日を起点として、その対策が存在しない「ゼロ日目」に攻撃が行われることに由来します。
ベンダーが脆弱性を認知してから修正パッチを提供するまでの間、企業はなす術なく攻撃にさらされるリスクを抱えることになります。
近年はこの「空白の期間」を悪用した攻撃が急増しており、企業のセキュリティ担当者にとって最も深刻な脅威のひとつとなっています。
脆弱性とゼロデイ脆弱性の違い
一般的な「脆弱性」とは、ソフトウェアやシステムに存在するセキュリティ上の欠陥のことを指します。
脆弱性が発見された場合、通常はベンダーが修正プログラム(パッチ)を公開し、ユーザーはそのパッチを適用することで問題を解消できます。
一方、「ゼロデイ脆弱性」は、その存在がまだベンダーにも一般にも知られていない脆弱性のことです。
パッチが存在しないため、ユーザーは自分でその脆弱性の存在すら知らないまま無防備な状態に置かれます。
攻撃者がこのゼロデイ脆弱性を悪用してシステムに侵入することを「ゼロデイ攻撃」と呼びます。
つまり、通常の脆弱性には「対処する手段(パッチ)」が存在しますが、ゼロデイ脆弱性は「パッチすら存在しない」という点で、防御の難易度が根本的に異なります。
【関連記事】:脆弱性対策とは?発生原因や被害事例、対策手法を解説
Nデイ攻撃との違い(パッチ公開後に狙われる脅威)
ゼロデイ攻撃と混同されやすい攻撃に「Nデイ攻撃」があります。
両者の違いを時系列で整理すると、以下のようになります。
【ゼロデイ攻撃 vs Nデイ攻撃 タイムライン比較図】
[脆弱性の存在]
↓
[攻撃者が脆弱性を発見・悪用] ← ゼロデイ攻撃が発生するゾーン(パッチなし)
↓
[ベンダーが脆弱性を認知・パッチを公開] ← パッチ公開日(Day 0)
↓
[ユーザーがパッチを未適用のまま放置] ← Nデイ攻撃が発生するゾーン
↓
[パッチ適用済み → 安全な状態]
- ゼロデイ攻撃:パッチが公開される「前」の段階で、脆弱性を悪用する攻撃。
防ぐ手段が原則として存在しない。 - Nデイ攻撃:パッチが公開された「後」も、まだパッチを適用していない組織を狙った攻撃。
「N日後」に攻撃されることからこう呼ばれる。
Nデイ攻撃はパッチを適用すれば防げるにもかかわらず、「パッチ適用のリソースがない」「動作確認に時間がかかる」といった理由でアップデートを後回しにした企業が被害を受けるケースです。
どちらも深刻な脅威ですが、ゼロデイ攻撃は「そもそも対策の選択肢がない」という点でより根本的なリスクを抱えています。
ゼロデイ攻撃が近年急増している3つの背景
ゼロデイ攻撃が増加している背景には、以下の3つの要因があります。
- サイバー犯罪の闇ビジネス化:ゼロデイ脆弱性の情報はダークウェブ上で高額取引されており、「脆弱性ブローカー」が存在するほどビジネス化が進んでいます。
国家レベルのAPT(高度持続的脅威)グループがゼロデイを大量保有・利用するケースも増加しており、攻撃のハードルが劇的に下がっています。 - テレワーク普及によるVPN機器・クラウドサービスの利用急増:リモートワークの定着によりVPNやクラウドサービスへの依存度が高まり、それらに内在するゼロデイ脆弱性を突いた攻撃が急増しています。
特にVPN機器は常時インターネットに接続されており、攻撃者にとって格好の標的となっています。 - IoT機器・レガシーシステムの普及:工場・医療・インフラなどに導入されたIoT機器やレガシーシステムは、セキュリティアップデートが困難な場合が多く、ゼロデイ脆弱性が長期間放置されるリスクがあります。
なぜゼロデイ攻撃は防ぎにくいのか?検知が困難とされる4つの理由
ゼロデイ攻撃は「知らない敵と戦う」ようなものです。
従来のセキュリティ対策が有効に機能しない理由を4つの視点から解説します。
シグネチャ型検知(パターンマッチング)では未知の脅威を捕捉できないため
一般的なウイルス対策ソフトは、「シグネチャ型検知」という方式で動作しています。
これは過去に発見されたマルウェアのパターン(シグネチャ)をデータベース化し、スキャン対象のファイルや通信と照合することで脅威を検知する仕組みです。
しかし、ゼロデイ攻撃で使われるマルウェアは「初めて登場する未知の脅威」です。
シグネチャデータベースに登録されていないため、パターンマッチングでは一切検知できません。
つまり、従来型のセキュリティソフトはゼロデイ攻撃に対してほぼ無力であると言わざるを得ません。
攻撃の痕跡が残りにくく、事後調査が難航するため
ゼロデイ攻撃の多くは、OSやアプリケーションの「正常な機能」を悪用して侵入します。
たとえば、正規のシステム管理ツール(PowerShellなど)を利用して悪意のある操作を行う「ファイルレスマルウェア」は、ディスクにほとんど痕跡を残しません。
セキュリティ担当者がログを調査しても、一見すると正常な操作にしか見えないため、「攻撃が行われた事実」を後から証明することが非常に困難です。
インシデント発生後の原因究明や被害範囲の特定にも多大な時間と専門知識が必要となります。
脆弱性の存在がベンダーや世間に認知されていない「空白の期間」があるため
ゼロデイ脆弱性は、その名のとおり「誰もその存在を知らない状態」が続きます。
開発元のベンダー自身すらバグを認識していないため、修正プログラムを開発するという発想にすら至りません。
ユーザー側も「このソフトウェアに危険な脆弱性がある」という情報を入手できないため、自衛のしようがありません。
発見から修正パッチ公開までの期間は数日から数年に及ぶこともあり、この「無防備な空白の期間」が攻撃者にとって絶好の機会となっています。
特定の企業・組織を狙った標的型攻撃が多く、被害が表面化しにくいため
ゼロデイ攻撃は、不特定多数にばらまくタイプの攻撃ではなく、特定の企業・政府機関・インフラを精密に狙い撃ちにする「標的型攻撃(APT攻撃)」として使われることが多い特徴があります。
標的にされた組織は被害を公表することに消極的なケースも多く、業界全体でインシデント情報が共有されにくい環境があります。
その結果、「同じ手口の攻撃を他の企業が受けていた」という事実が広まらず、対策が業界全体に波及するスピードが遅れてしまいます。
ゼロデイ攻撃の主な侵入経路と想定される甚大な被害リスク
ゼロデイ攻撃への対策を講じるうえで、まず「どこから入ってくるのか」「入られたら何が起きるのか」を正確に把握することが不可欠です。
主な侵入経路:VPN機器の脆弱性・標的型メール・Webサイト改ざん
攻撃者がゼロデイ攻撃で組織に侵入する際に多用される3つの経路を紹介します。
① VPN機器・ネットワーク境界装置の脆弱性
テレワーク普及後、社外からの接続を担うVPN装置はインターネットに常時露出しています。
ファームウェアにゼロデイ脆弱性が存在すると、攻撃者は認証を回避してネットワーク内部に直接侵入できてしまいます。
Fortinet、Citrix、Palo Alto NetworksのVPN製品はこれまでに複数のゼロデイ攻撃の標的となってきた実績があります。
② 標的型メール(スピアフィッシング)
巧妙に偽装されたメールに悪意あるリンクや添付ファイルを仕込み、開封させることで初期感染を引き起こします。
受信者が実在の取引先・同僚を装ったメールを信じて開いた瞬間に、ゼロデイエクスプロイトが実行されます。
③ Webサイト改ざん(ウォータリングホール攻撃)
ターゲット企業の社員が頻繁に訪問するWebサイトを事前に改ざんし、閲覧しただけでマルウェアに感染させる手法(ドライブバイダウンロード)も代表的な侵入経路のひとつです。
想定される被害:ランサムウェアによるシステム停止と情報漏洩
ゼロデイ攻撃によって組織のシステムへの侵入を許してしまった場合、以下のような深刻な被害が生じます。
ランサムウェアによるシステム停止と身代金要求
侵入したマルウェアがサーバー・PC・バックアップデータを一括暗号化し、業務が完全停止するケースが急増しています。
攻撃者は「暗号化を解除したければ身代金(ランサム)を払え」と要求し、支払いに応じない場合は窃取したデータをダークウェブ上で公開すると脅迫する「二重脅迫型」の手口が一般化しています。
機密情報・個人情報の漏洩
顧客の個人情報、取引先との契約情報、研究開発データ、社員の給与情報など、企業の根幹に関わるデータが外部に流出するリスクがあります。
情報漏洩が発覚した場合、被害額だけでなく信用失墜による顧客離れ、行政処分、訴訟リスクなど、金銭では計れない深刻なダメージが生じます。
【関連記事】:情報漏えい対策とは?原因ごとの対策と、漏えい発覚時の対応手順を解説
【関連記事】:ランサムウェア感染からの復旧方法は?正しい手順や費用相場、NG行動を解説
ゼロデイ攻撃の対策7選!未知の脅威を防ぐ多層防御のロードマップ
ゼロデイ攻撃には「これひとつで完璧」という銀の弾丸は存在しません。
複数の対策を組み合わせた「多層防御」の構築こそが、現実的かつ効果的なアプローチです。
1. 予防対策:OS・ソフトウェアの迅速なアップデートと脆弱性診断
ゼロデイ攻撃対策の基本中の基本は、パッチが公開されたら即座に適用することです。
ゼロデイ脆弱性は「パッチが公開された時点」でNデイ脆弱性に変わります。
つまり、迅速なアップデートはゼロデイリスクをゼロにはできないものの、脆弱な状態の期間を最小化するうえで最も費用対効果が高い対策です。
また、定期的な脆弱性診断を実施し、自社システムのどこに脆弱性が潜んでいるかを事前に把握しておくことも重要です。
外部の専門業者による診断を年1回以上実施し、発見された脆弱性に優先順位をつけて計画的に対処する運用体制を整えましょう。
2. 検知対策:未知のマルウェアを検知するEDRの導入
EDR(Endpoint Detection and Response)は、PC・サーバーなどエンドポイント端末の挙動をリアルタイムで監視し、不審な動作を検知・遮断・記録するセキュリティツールです。
従来のアンチウイルスソフトがシグネチャ(既知のパターン)との照合に頼るのに対し、EDRは「この操作は通常ありえない」という異常挙動を機械学習・AIで検知するため、未知のゼロデイマルウェアにも有効です。
侵入されることを前提とした「侵害後の早期発見と被害拡大防止」の観点から、現代のセキュリティ対策においてEDRは必須のツールとなっています。
3. 検知対策:ネットワーク境界で不正侵入をブロックするIPS/IDS
IDS(侵入検知システム)とIPS(侵入防止システム)は、社内ネットワークの出入り口に配置し、通過するトラフィックをリアルタイムで分析するセキュリティ装置です。
IDSは不審な通信パターンを検知してアラートを発報し、IPSはさらに一歩進んで当該通信を自動的に遮断します。
既知のパターンに頼らない「ふるまい検知(アノマリ検知)」機能を備えたIPS/IDSであれば、ゼロデイ攻撃特有の不自然な通信(例:大量のデータ送信、不自然なポート接続)や、侵入後に外部の攻撃者サーバー(C2サーバー)へ試みられる不審な通信を検知してネットワーク内部への浸透を食い止めることができます。
【関連記事】:ネットワークセキュリティ対策とは?基本的な種類や対策方法を解説
4. 封じ込め対策:隔離環境で怪しいファイルを検査するサンドボックス
サンドボックスは、メールの添付ファイルや外部から受け取ったファイルを、実際のPC環境に届ける前に「隔離された仮想環境」で実行・検査する技術です。
仮想環境の中でファイルを開き、「暗号化を始めた」「外部の不審なサーバーに通信を試みた」などの悪意ある動作が確認されれば、そのファイルを無害化またはブロックします。
エンドユーザーのPCに悪意あるファイルが到達する前に無力化できるため、メール経由のゼロデイ攻撃対策として特に有効なアプローチです。
5. 情報収集対策:最新の脆弱性情報をいち早くキャッチする脅威インテリジェンス
脅威インテリジェンスとは、世界中のセキュリティ機関・ベンダー・研究者が発信する最新の脅威情報を収集・分析し、自社のセキュリティ対策に先回りで活用する仕組みです。
JVN(Japan Vulnerability Notes)やCERT/CC、各ベンダーのセキュリティアドバイザリを定期的にチェックし、「まだパッチが公開されていない脆弱性情報(ゼロデイ情報)」をいち早くキャッチすることで、暫定的な回避策(該当機能の無効化など)を素早く講じることができます。
専用の脅威インテリジェンスプラットフォームを活用することで、情報収集の効率と精度を大幅に高められます。
6. 組織運用対策:ISMS認証に準拠したセキュリティポリシーの策定とリスク評価
技術的な対策だけでなく、組織としてのセキュリティ体制(ソフト面)の整備も不可欠です。
ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO/IEC 27001に準拠したセキュリティポリシーを策定し、「社員がどう行動すべきか」の基準を明文化しましょう。
具体的には、疑わしいメールの添付ファイルを開かないルール、USBメモリの使用制限、定期的なセキュリティ教育・訓練の実施などが含まれます。
また、定期的なリスク評価によって「現在の脅威に対して自社の対策が十分か」を継続的に見直すPDCAサイクルを確立することが重要です。
7. サプライチェーン対策:委託先やグループ企業のセキュリティ監査
自社のセキュリティ対策がどれほど強固でも、取引先・委託先・グループ企業のセキュリティが脆弱であれば、そこを踏み台にして自社に侵入されるサプライチェーン攻撃のリスクが存在します。
委託先に対してセキュリティ基準の遵守を契約で義務付けるとともに、年1回以上のセキュリティ監査(第三者監査または自己評価)を実施し、問題が見つかれば改善を求める体制を構築しましょう。
特に、自社システムへのアクセス権限を持つ外部業者に対しては、アクセス権の最小化と定期的な棚卸しが必須です。
【関連記事】:サプライチェーン攻撃の対策とは?最新事例と自社・取引先で取り組むべきガイドライン
【事例から学ぶ】国内におけるゼロデイ攻撃の被害事例3選
実際に国内で発生したゼロデイ攻撃・ランサムウェア被害の事例を振り返ることで、被害の深刻さと対策の重要性を再認識しましょう。
事例1:KADOKAWAグループへのランサムウェア攻撃(2024年6月)
2024年6月、出版・エンターテインメント大手のKADOKAWAグループが大規模なランサムウェア攻撃の被害を受けました。
グループのニコニコ動画を含む多数のサービスが停止に追い込まれ、復旧までに数週間を要しました。
攻撃者は「BlackSuit」と呼ばれるランサムウェアグループとされており、KADOKAWAの社員・クリエイター・ユーザーに関する大量の個人情報が漏洩したとも報告されています。
本事案はVPN機器の脆弱性を悪用した侵入が起点となった可能性が指摘されており、多層防御と迅速なパッチ適用の重要性を改めて示す事例となりました。
また、サプライチェーン上の取引先にも影響が波及するなど、大規模組織における被害拡大の連鎖を如実に示しました。
【関連記事】:ランサムウェア感染からの復旧方法は?正しい手順や費用相場、NG行動を解説
事例2:名古屋港コンテナターミナルシステム停止(2023年7月)
2023年7月、日本最大の貨物取扱量を誇る名古屋港のコンテナターミナル管理システム(NUTS)がランサムウェア攻撃を受け、約3日間にわたってコンテナの搬出入作業が完全停止しました。
この攻撃はロシア系とされるランサムウェアグループ「LockBit 3.0」によるものと報告されており、物流の根幹を担うインフラへの攻撃が社会インフラ全体を麻痺させる可能性を示した事案として国内外で大きな衝撃を与えました。
物流の停止は自動車メーカーをはじめとする製造業にも影響を及ぼし、ランサムウェア攻撃のサプライチェーンへの波及効果という新たなリスクを浮き彫りにしました。
侵入経路については、VPN機器の脆弱性や適切なアクセス管理の不備が原因として取り沙汰されています。
事例3:JAXA(宇宙航空研究開発機構)への複数回の不正アクセス(2023〜2024年)
2023年から2024年にかけて、国立研究開発法人のJAXA(宇宙航空研究開発機構)が複数回にわたって不正アクセス被害を受けていたことが明らかになりました。
2023年には宇宙開発に関する機密性の高い情報が含まれたシステムへの不正アクセスが確認され、2024年にも職員のIDやパスワードなどのアカウント情報が漏洩した可能性が指摘されました。
日本の宇宙開発・安全保障に関わる重要機関が標的となったこの事案は、国家関与が疑われるAPT(高度持続的脅威)グループによる標的型攻撃の可能性が指摘されています。
重要インフラや研究機関においても、継続的な脆弱性診断・ネットワーク監視・インシデント対応体制の整備が不可欠であることを示す典型例です。
万が一ゼロデイ攻撃を受けたときの初動対応フロー(5つのステップ)
【初動対応フローチャート(挿入指示)】
【感染・侵害を疑うサインを発見】
↓
Step1:該当端末のネットワーク遮断(隔離)
↓
Step2:社内関係各所・セキュリティ責任者への即時報告
↓
Step3:ウイルススキャンと不審なプロセスの特定
↓
Step4:ログ分析による侵入経路と被害範囲の特定
↓
Step5:暫定的な回避策の実施と再発防止策の策定
↓
【恒久対策の実施・再発防止】
いざゼロデイ攻撃の被害に遭った際、焦りと混乱の中でも「何を、どの順番で実施すべきか」を事前にマニュアル化しておくことが被害の最小化につながります。
Step1:該当端末のネットワーク遮断(隔離)
感染・侵害の疑いがある端末を発見したら、まず最初に行うべきことはネットワークからの即時切り離しです。
LANケーブルを物理的に抜く、Wi-Fiをオフにする、スイッチングハブのポートを無効化するなど、あらゆる手段で該当端末をネットワークから隔離してください。
この一手を迅速に行うことで、マルウェアの他端末への横感染や、外部の攻撃者サーバーへのデータ送信を食い止めることができます。
電源を落とす操作は揮発性メモリ(RAM)上のフォレンジック証拠を消去してしまう恐れがあるため、原則として電源はオフにせず隔離のみ実施してください。
Step2:社内関係各所およびセキュリティ責任者への即時報告
端末を隔離したら、あらかじめ決めておいた報告ラインへ速やかに連絡を入れます。
情報システム部門の責任者・経営層・法務部門・広報部門など、インシデント対応に関係するすべてのステークホルダーへの報告を迅速に行いましょう。
「自分が見間違いかもしれない」という思い込みで報告を遅らせることは厳禁です。
被害が拡大してからでは取り返しがつきません。
また、インシデント対応の窓口となる外部のセキュリティベンダーや保険会社にも、契約に基づいて早期に連絡する必要があります。
Step3:ウイルススキャンと不審なプロセスの特定
隔離した端末に対して、別途クリーンな環境から最新のウイルス定義ファイルを使ったスキャンを実施します。
同時に、タスクマネージャーや専用のフォレンジックツールを使って、現在進行形で動作している不審なプロセスがないかを確認します。
不審なプロセスが発見された場合は、そのプロセス名・実行ファイルのパス・通信先IPアドレスなどを記録します。
この段階では「完全な解析」よりも「今何が起きているかの把握」を優先します。
スキャン結果と不審プロセスの情報は、後のログ分析における重要な手がかりとなります。
※注意点: ゼロデイ攻撃の場合、一般的なウイルススキャンでは検知できない可能性が高いだけでなく、スキャンを実行した刺激によってマルウェアが自己消去(証拠隠滅)を始めてしまうリスクもあります。
そのため、まずはEDRのダッシュボードやログの確認、プロセスの監視を優先し、ウイルススキャンは慎重に行うか、専門ベンダーの指示を仰ぐのが安全です。
Step4:ログ分析による侵入経路と被害範囲の特定
「どこから侵入されたのか」「どこまで被害が及んでいるのか」を解明するために、各種ログ(アクセスログ・イベントログ・ファイアウォールログ等)の収集と分析を行います。
この工程は高度な専門知識が必要であり、インシデントレスポンスを専門とするセキュリティベンダーへの依頼が現実的です。
自社対応のみで不完全な調査に終わると、二次被害のリスクが残ります。
被害範囲が確定したら、経営層・顧客・関係当局(個人情報保護委員会など)への適切な報告・開示を行います。
Step5:暫定的な回避策の実施と再発防止策の策定
調査が進むなかでも、パッチが公開されるまでの暫定的な回避策を速やかに実施します。
具体的には、脆弱性が確認された機能・サービスの一時停止、該当ポートのブロック、アクセス制御リストの見直しなどが該当します。
ベンダーから正式な修正パッチが提供された時点で速やかに適用し、恒久的な対策を完了させます。
インシデント後は「なぜ防げなかったのか」の根本原因分析(RCA)を実施し、セキュリティポリシーや運用手順の改訂、追加技術対策の導入など、具体的な再発防止策を策定・実行します。
ゼロデイ攻撃の備えに迷ったら?企業のセキュリティを支える「情シス君」におまかせ
複雑な多層防御の構築から万が一の初動対応までトータルサポート
ここまでご紹介したゼロデイ攻撃の7つの対策と5つの初動対応ステップを読んで、「これを自社だけで全部やるのは難しい…」と感じた方も多いのではないでしょうか。
EDRの選定・導入・運用、IPS/IDSの設定、サンドボックスの構築、脅威インテリジェンスの活用、ISMS準拠のポリシー策定、委託先のセキュリティ監査——これらを専門のセキュリティ人材なしに実現することは、中小〜中堅規模の企業にとって現実的に困難です。
IT顧問「情シス君」は、そのような課題を抱える企業の情報システム部門を丸ごとアウトソーシングで支援するサービスです。
- 多層防御の構築:自社の環境・予算・リスクに合わせたEDR・IPS/IDS・サンドボックスの選定・導入・運用管理まで一貫してサポートします。
- 24時間のセキュリティ監視:万が一の侵害が発生した際には、プロのエンジニアが迅速に検知し、初動対応(ネットワーク遮断・ログ分析・報告)まで即座に対応します。
- 脆弱性診断・セキュリティポリシー策定:年次の脆弱性診断の実施と、ISMS準拠のセキュリティポリシー整備もサポート。
- サプライチェーン管理:委託先・グループ企業のセキュリティ監査まで、専門家の目線でトータルに管理します。
専門の人材を採用・育成するコストと比較して、はるかに手頃なコストで「プロのセキュリティ対策」を実現できるのが「情シス君」の強みです。
ゼロデイ攻撃への備えについてお困りのことがあれば、ぜひお気軽にご相談ください。
