ゼロデイ(英: zero-day)とは、情報セキュリティにおいて、セキュリティホールが発見された日から、その脆弱性を解消するための対処方法が確立される日までの期間のことであり[1]、その期間に、当該脆弱性を利用して行われるサイバー攻撃のことを、ゼロデイ攻撃(ゼロデイこうげき、英: zero-day attack)という。
概要
セキュリティホールの対処においては、設定変更によりすぐに対処できる場合もあるが、ソフトウェアやハードウェアのベンダーから、脆弱性を解消するための修正プログラムが配布されるのを待たなければならないことが多い。対処が完了するまでの間、何らかの次善策(例えば、サービスを一部停止する等)を講じることができないコンピュータは、当該脆弱性において無防備となる。
その一方で、脆弱性情報データベースにより、既知の脆弱性の情報は広く一般に公開されており、エクスプロイトが周知されてしまう場合もある。多くのハッカーがこうした脆弱性情報を参照できるにも係わらず、管理者ができることは限られてくるため、発見された脆弱性の内容によっては、非常に大きな脅威となる[2]。
ゼロデイ攻撃は、APT攻撃と組み合わせて使われる事も多い[3]。
事例
2015年1月Adobe Flash Playerのゼロデイ攻撃
2015年1月13日 Adobe Flash Playerの脆弱性を修正したバージョン16.0.0.257をリリースしたものの、脆弱性2件が発見され1件を修正したものを22日に緊急公開した。未解決の脆弱性を残しており[4]IPAからも注意勧告が出された[5]。パッチ提供は1月26日の週になる事が予告され、その間に脆弱性を残したままだった。研究者は「無効にした方がいいかもしれない」と勧告した事が報じされている[4]。その後も、新たな脆弱性の発覚は続き、最終的に修正されたのは2月6日だった[6]。
2014年 シェルショック
2014年9月24日(日本時間)Linux等のシェルとして用いられているBashについての脆弱性が公表(
CVE-2014-6271[7])、IPAから緊急告知が行われた[8]。このシェルはサーバーの管理運営などに使われており、またCGIなどでも基幹部分で使用されていたため影響は巨大であり、サーバーを停止できない企業や、代替となるものが用意できないケースでは、パッチが出るまで対応策が極めて限られ、ケースによってはセキュリティーソフトのシグネチャ更新がくるまで、対応策が無いに等しい状態となり、技術者を大いに困惑させた。この際に行われたゼロデイ攻撃を警察庁は監視し報告書を公開している[9][10]。この監視と報告書公開は、脆弱性発覚の翌日には第一報が行われており、続けて10月7日にも第二報が公開された。これは、監視している事を示す事によるゼロデイ攻撃の抑止効果を狙ったものとみられる。
対策
共通脆弱性識別子CVEによる情報の整理
アメリカ合衆国連邦政府の支援を受けた非営利団体のMITREにより、脆弱性の共通となる番号など(識別子)を付与しそれを公開する試みが行われている。これにより、A社で調査中の脆弱性XとB団体で対応中の脆弱性Zが共通の脆弱性だと認識できる事により、情報の共有が進み、ひいてはパッチ作成の時間などを短縮でき、またユーザーにも認知しやすく、パッチなどのアップデートの必要性など判断しやすくなる事が期待されている。発見された脆弱性には、「CVE-年4ケタ-番号」と付与され、公式サイトにて確認が取れる[11]。(詳細は脆弱性情報データベースの項目参照)。なお、CVEは英語だが、IPAが順次調査し、重要なものは日本語で警告を発している[12]。
各企業の取り組み
複数の企業により、ゼロデイ攻撃に対応する様々なシステムが提唱され、研究開発が進んでいる。
脚注
関連項目