用語集 › 🔒 セキュリティ › ゼロデイ脆弱性
【ぜろでいぜいじゃくせい】

ゼロデイ脆弱性 とは?

💡 パッチが存在しない「誰も気づいていない秘密の抜け穴」
📌 このページのポイント
ゼロデイ — 脆弱性発見のタイムライン 時間 脆弱性発見 攻撃者が発見 ゼロデイ攻撃期間 攻撃開始 パッチなし ベンダー認知 Day 0 パッチ公開 修正版リリース 適用完了 防御手段なし(最も危険) 対応中 安全 ベンダーが認知する前(Day 0)に攻撃が行われる パッチが存在しないため、被害が拡大しやすい
ゼロデイ脆弱性のイメージ
ひよこ ひよこ

ゼロデイって何がゼロなの?

ペンギン先生 ペンギン先生

「修正できるまでの日数がゼロ日」という意味だよ。脆弱性が発見された時点でもう攻撃に使われていて、まだ誰もパッチを作っていない状態なんだ。

ひよこ ひよこ

パッチがないなら対策できないの?

ペンギン先生 ペンギン先生

完全には防げないけど、被害を最小化することはできるよ。最小権限の原則(必要最低限の権限だけ与える)・ネットワークの分離・サンドボックスなど、ゼロデイが使われても影響範囲を狭める多層防御が重要なんだ。

ひよこ ひよこ

ゼロデイって誰が使うの?

ペンギン先生 ペンギン先生

国家支援型のハッカーグループや高度なサイバー犯罪者が主な使い手だよ。ゼロデイの情報は「ダークウェブ市場」で数百万円から億単位で取引されることもあるんだ。特定の国家が重要インフラへの攻撃に使うケースも報告されているよ。

ひよこ ひよこ

発見した人はどうするの?悪用したら儲かるの?

ペンギン先生 ペンギン先生

法的・倫理的には、発見した脆弱性ベンダーに報告(責任ある開示)するのが正解。バグバウンティ(報奨金)プログラムで合法的に報酬を得る道もある。ただし「Exploit Broker(脆弱性ブローカー)」という、ゼロデイを政府機関などに合法的に販売する会社も存在していて、安全保障と倫理の観点から議論が続いているんだよ。

ひよこ ひよこ

ゼロデイが「1-day(ワンデイ)」になるとどうなるの?

ペンギン先生 ペンギン先生

ベンダー脆弱性を公開してパッチをリリースした直後を「1-day(N-day)」と呼ぶよ。パッチが出ても全てのユーザーが即座に適用するわけじゃないから、パッチが出た後もしばらくは未適用のシステムを大量に狙う攻撃が続くんだ。「パッチが出たから安全」ではなく「すぐ適用する」ことが重要で、公表後の短時間が実は攻撃が集中しやすい危険なタイミングでもあるんだよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
ゼロデイ脆弱性って出てきたら「修正パッチが存在しない未知の脆弱性への攻撃」と思えばだいたいOK!
📖 おまけ:英語の意味
「Zero-Day Vulnerability」 = ゼロ日目の脆弱性
💬 「Day Zero(ゼロ日目)」=修正が「0日しか経っていない」つまりパッチが存在しない状態。ゼロデイ攻撃(Zero-Day Exploit)とセットで使われることが多いよ
🔗 あわせて読みたい
← 用語集にもどる