ゼロデイ脆弱性(ゼロデイ攻撃)とは、メーカー・開発元がまだ認識していない欠陥を悪用する攻撃のことです。「ゼロデイ(Zero-day)」は、“パッチや修正が出るまで0日しか猶予がない”という意味から来ています。
この攻撃が恐ろしいのは…
- 防御側に情報がない(防ぎようがない)
- 攻撃が短期間で急速に広がる
- 標的型攻撃で使われやすい(特定企業だけが狙われる)
という特徴があるためです。
最近では、企業・行政・学校だけでなく、スマホや家庭用ルーターなど一般家庭にも波及するケースが増えています。
- INDEX
- 1. ゼロデイ攻撃が危険な理由
- 2. 標的型攻撃に悪用されやすい(企業・行政が狙われる)
- 3. 実際に過去にあった有名なゼロデイ攻撃
- 4. ゼロデイ攻撃はどうやって行われる?
- 5. 一般ユーザーが今日からできる対策
- 6. 企業・団体が行うべき対策
1. ゼロデイ攻撃が危険な理由
ゼロデイ脆弱性が発見された瞬間、世界中のユーザーが一斉に無防備になるのが大きなリスクです。
例)
- 2024年:Google Chromeで深刻度“Critical”のゼロデイが複数回発生
→ 修正パッチが出るまでの数日間、攻撃が確認 - 2023年:WinRAR のゼロデイで世界的な不正アクセスが増加
→ 圧縮ファイルを展開するだけでマルウェア感染
ユーザーの行動では防ぎにくいのが特徴です。
2. 標的型攻撃に悪用されやすい(企業・行政が狙われる)
ゼロデイは、いわゆる「国家系ハッカー」「高度なサイバー犯罪者」に使われることが多いです。
【事例】
- 日本の行政機関への攻撃(Emotet拡散)
ゼロデイ脆弱性ではないものの、“未パッチのOffice”を使っていた自治体が狙われた。 - 米国政府機関のメール侵害(2023)
Microsoft Outlook のゼロデイ脆弱性を悪用し、中国系ハッカーが政府系メールへ侵入。
一般企業でも、「経営層のメールアカウントだけを狙う」ピンポイント攻撃が増えています。
一般ユーザーでも普通に被害に遭う
特に狙われるのは以下の分野です。
- ブラウザ(Chrome / Edge / Safari)
- スマホ(iOS / Android)
- Wi-Fiルーター(古い機種が標的)
- PDFリーダー、画像ビューア
【事例】iPhoneの“ゼロクリック攻撃”(Pegasus)
メッセージを開かなくても、受け取った時点で遠隔操作される例が報告されました。個人のジャーナリストや弁護士が狙われています。一般の人でも「古いiPhoneやAndroid」を使っている人は要注意です。
3. 実際に過去にあった有名なゼロデイ攻撃
◆ Google Chrome のゼロデイ(2024)
2024年は異例のペースで「緊急アップデート」が出ました。なかには“実際に悪用されている”と報告された深刻な脆弱性もありました。
攻撃者はブラウザの欠陥を突いて、
- 不正サイトへ誘導
- 乗っ取り用コードを注入
- 保存されたパスワードを盗む
などの攻撃を実行するケースがありました。
◆ Windows / Office のゼロデイ
Word / Excel / PowerPoint など Officeファイルを開くだけで感染する攻撃が過去多数。
【事例】CVE-2023-23397(Outlook)
Outlookでメールを“受信するだけ”で認証情報が抜き取られる重大事件が発生。欧米企業や政府機関が被害に。
◆ iPhoneの“Pegasus”に代表されるゼロクリック攻撃
イスラエルの NSO Group が開発したスパイウェア「Pegasus」は、
- 受信しただけで感染
- カメラ・マイク・位置情報が乗っ取られる
- iPhoneでも Androidでも被害
など、これまでの常識を覆す攻撃でした。
◆ Adobe Reader / PDF のゼロデイ
メール添付の PDF を開くことで感染する例も多数報告されています。
4. ゼロデイ攻撃はどうやって行われる?
① 攻撃者が脆弱性を発見
攻撃者は専門ツールを使って“意図しない動作”を探します。ゼロデイは闇市場で売買され、価格は数百万円〜数千万円と言われることも。
② Exploit(悪用コード)を作る
脆弱性を攻撃できる「専用プログラム」を作成。国家系ハッカーは軍隊並みの技術者チームが作ります。
③ 感染させる手段を仕込む
よく使われるのは…
- メールのExcel/Wordファイル
- 偽サイト(フィッシング)
- 正常サイトに広告経由で仕込む(マルバタイジング)
- Wi-Fiルーターの穴を突く(家庭用ルーターが多い)
④ パッチが出る前に攻撃を実行
攻撃者の目的は「誰も気づいていない期間に最大限攻撃すること」。だからこそ、1日でもアップデートが遅れると危険です。
5. 一般ユーザーが今日からできる対策
OS・アプリのアップデートは“即時”に
ゼロデイ攻撃は“時間との勝負”。遅れるほど危険になります。
特に更新が多いのは…
- Chrome
- Edge
- Firefox
- iOS / Android
- Windows / macOS
【ポイント】
“夜にまとめてアップデート”は危険。ゼロデイの時はその数時間が命取りになります。
不審な添付ファイルは絶対に開かない
特に危険なのは Office ファイル系。
【実際のケース】
「見積書を添付します」という件名で送られる Excel ファイル。開いた瞬間にマクロが実行され、ランサムウェア感染。
公式ストア以外でアプリを入れない
Android の “野良アプリ”や、PC で怪しいサイトからダウンロードする行為はNG。
【リスク例】
- 公式アプリを偽装したキーロガー
- カメラ・マイクが遠隔で勝手に起動
- 暗号資産ウォレット盗難
Wi-Fiルーターの初期設定のままは危険
特に“古すぎるルーター”はゼロデイ標的になりやすい。
チェックポイント
- パスワードが「admin」のまま
- ファームウェア更新を数年していない
- ISPからレンタルのまま古い機種
二段階認証でアカウントを守る
ゼロデイ攻撃が成功すると、パスワードだけでは守れません。2段階認証があるだけで被害が半減します。
特にオンにすべきサービス
- Apple ID
- LINE
- 銀行・証券系
6. 企業・団体が行うべき対策
EDR(振る舞い検知型)を導入する
ゼロデイは「ウイルスパターンファイルでは検知不可」。だからこそ“動き”を監視する EDR が有効。
※ EDR(Endpoint Detection and Response):パソコンの不審な動きをリアルタイムで監視して、攻撃を見つけて止める仕組み
例:
- 不審なプロセス
- 標準ツールの悪用(PowerShell など)
- 外部への不自然な通信
中小企業でも月1,000〜数千円で導入できる製品が増えています。
ゼロトラストモデルの導入
「社内LANだから安全」はもう通用しません。
ゼロトラストでは…
- 接続のたび本人確認
- 端末の安全性チェック
- アプリごとにアクセス制限
を行うことで、感染しても横に広がりにくくします。
ネットワーク分離(被害を最小限に)
事例:
自治体・学校では“庁内LAN”と“インターネット用PC”を分離する方式が一般的。感染したとしても、重要データがあるサーバーまで到達できません。
パッチ管理のルール化
企業では「パッチ適用が遅れる」ことが最大の問題。
典型的な失敗例:
- 社内システム担当が1人で負担が集中
- 古い業務アプリが「アップデートに未対応」で放置
- 勤務時間内でしか更新できない
対策:
- 月1回のパッチ適用日を決める
- 重要パッチは“即時”適用ルール
- 古いアプリや端末は更新計画を作る
まとめ
ゼロデイは「防ぎ切る」ものではなく「備える」もの
ゼロデイ攻撃は完全に防ぐことはほぼ不可能です。しかし、被害を大きく減らす方法はたくさんあります。
- OSやアプリを“即”更新
- 不審な添付ファイルは絶対NG
- ルーターの設定見直し
- 二段階認証でアカウント強化
- 企業はEDR・ゼロトラスト導入へ
個人も企業も「今日できる対策」から始めるだけで、被害リスクは驚くほど下げられます。
