公に知られていない、または未修正のセキュリティ脆弱性を指します。この種の脆弱性は、開発者やベンダーがその存在を知った「ゼロの日」から修正されるまでの期間中、攻撃者に悪用される可能性があります。
ゼロデイ脆弱性は特に危険です。なぜなら、修正パッチが存在しないため、システムやアプリケーションは攻撃に対して無防備な状態にあるからです。これを悪用したゼロデイ攻撃は、防御策が整う前に発生することが多いため、被害が拡大する可能性が高いです。
通常、ゼロデイ脆弱性が発見されると、関係するソフトウェアやハードウェアのベンダーはできるだけ早くセキュリティパッチをリリースしてこの問題を解決します。ただし、そのパッチが開発され、テストされ、配布されるまでの間には時間がかかる場合があり、その間に攻撃が行われる可能性があります。
このような脆弱性を最小限に抑えるための一般的な対策には、ソフトウェアを常に最新に保つ、信頼されていないソースからのファイルやリンクを開かない、セキュリティソフトウェアを使用する、などがあります。特定のゼロデイ脆弱性に対応するためには、ベンダーからの公式な指示やアップデートに従うことが最も確実です。
「ゼロデイ脆弱性」のシナリオ
- 開発者すら気づいていない脆弱性: このケースでは、開発者やベンダーは脆弱性の存在をまだ知らない状態です。その脆弱性が攻撃者によって発見(または購入)され、悪用されると、それが「ゼロデイ攻撃」となります。この攻撃が公になった瞬間、開発者やベンダーは「ゼロの日」(発覚日)を迎え、問題の修正に取り組むことになります。
- 開発者は存在を知ったがまだ修正されていない脆弱性: このケースでは、開発者やベンダーは脆弱性の存在を知っているが、まだパッチ(修正プログラム)をリリースしていない状態です。この期間中に攻撃者がその脆弱性を悪用すると、それも「ゼロデイ攻撃」と呼ばれる場合があります。
「ゼロデイ」の名前は、攻撃が行われるまでの間、開発者が修正措置を講じる時間が「ゼロ日」であるという事象に由来しています。つまり、脆弱性が公に知られた瞬間から修正が行われるまでの期間が非常に短い、またはまったくない状態を指します。
どちらのケースも、修正が適用される前の脆弱性を悪用した攻撃が非常に危険であるという点で共通しています。これは防御策が限られているため、攻撃者による被害が大きくなる可能性が高いからです。
ゼロデイ脆弱性(Zero-Day Vulnerability)は、その存在が公に知られた瞬間(または攻撃者によって悪用された瞬間)から修正措置(パッチ)が適用されるまでの期間に存在する脆弱性です。この期間中、システムは「無防備な」状態とされ、攻撃者によって悪用される可能性が高まります。
ゼロデイ脆弱性は、開発者やベンダーがその存在に気づいていない場合もあれば、気づいてはいるがまだ修正されていない場合もあります。どちらにしても、この脆弱性が存在する間はシステムが攻撃に対して非常に脆弱であると言えます。
したがって、ゼロデイ脆弱性は「まだ何も対策されていない無防備な脆弱性」と言えるでしょう。これが悪用された場合には「ゼロデイ攻撃」と呼ばれます。