ゼロデイ攻撃､餌食は｢アップデート｣甘く見る人 ソフトウェアの脆弱性突くサイバー攻撃の1つ

ソフトウェア上に発見された脆弱性をセキュリティアップデート前に攻撃する「ゼロデイ攻撃」が増えている（写真：Rawpixel / PIXTA）

サイバー攻撃や情報漏洩などの被害を防ぐために行う「セキュリティアップデート」を後回しにして、ソフトウェアを使い続けていないだろうか。

【図で見る】修正プログラムを適用しないと危険な状態が続くゼロデイ攻撃

ソフトウェアの脆弱性を突く「ゼロデイ攻撃」の餌食となるのは、そのほとんどがセキュリティアップデートが公開されても更新していないユーザーだという。

ゼロデイ攻撃とは、どんな攻撃？

ゼロデイ攻撃とは、ソフトウェアのバグや不具合を利用するサイバー攻撃のこと。ハッキングや攻撃に利用できるバグや不具合、仕様上の問題をセキュリティ用語では「脆弱性（Vulnerability）」と呼ぶ。

「ゼロデイ」の意味は、発見された脆弱性の対策方法や修正プログラム（パッチ）が公開された日のことで、公開日をゼロデイ（第0日）として、システムが安全でない状態で、その前後に発生する攻撃がゼロデイ攻撃というわけだ。

自動車でいえば、リコールを想像するとイメージしやすいかもしれない。リコールは、メーカーが発見した不具合を対策部品とともに発表し、ユーザーに修理を呼び掛ける。ディーラーで対策や部品交換を行えば安全となるが、リコールに対応しなければ危険な状態で車に乗り続けることになる。

ソフトウェアでは、発見された脆弱性を、修正プログラムや対応策あるいはセキュリティアップデートとともに一般に公開する。ゼロデイ攻撃は、リコールの対策をしていない状態、あるいは対策する前に障害が発生した状態ともいえる。

ゼロデイ攻撃の3つのパターン

こうした「公開されていない未知の脆弱性による」ゼロデイ攻撃を細かくみていくと3つのパターンに分類できる。

1つめは、ハッカーが独自に発見した脆弱性を利用したサイバー攻撃。2つめは、メーカーが発見して修正プログラムを作っている間に、その脆弱性をハッカーも偶然発見しているか、何らかの方法で情報を得て利用されてしまう場合。3つめは、脆弱性が発見され、対策や修正プログラムも公開されているが、知らない、システムが動かなくなるといった理由で修正プログラムを適用していない状態で、攻撃を受けてしまう場合だ。

1. ハッカー単独で発見した脆弱性（未知の脆弱性への攻撃）
2. メーカーが認知した脆弱性が対策完了前に利用される
3. 対策が公開されたが、ユーザーが対応していないため受ける攻撃

攻撃者しか発見していない脆弱性は、メーカーもユーザーも対策のしようがない。メーカー側の対策中に攻撃されても同様だ。だが、1と2の攻撃は、実際の発生件数はそれほど多くないと推測される。