【令和７年度版】中小企業におけるセキュリティ脅威への対策強化　～修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）から対策を学ぶ～

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2025」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は３位に挙げられている「システムの脆弱性を突いた攻撃」の中から「ゼロデイ攻撃」について事例とともに深掘りします。（2024年の5位「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」と、7位「脆弱性対策情報の公開に伴う悪用増加」が統合され、3位にランクインしました）

１．ゼロデイ攻撃とは

ゼロデイ攻撃とは、システムやソフトウェアの脆弱性に対して、開発ベンダー等が認知もしくは修正プログラムを提供する前に行われる攻撃です。

ゼロデイ攻撃が行われた場合、ウイルス感染や情報漏えい等の直接の被害に留まらず、事業やサービスが停止するなど、多くのシステムやユーザーに影響が及ぶことがあります。

そのため企業には、脆弱性対策情報が公開された場合、早急な対応が求められます。

２．ゼロデイ攻撃による脅威

OSやアプリケーション等のソフトウェアの脆弱性が発見されると、開発ベンダー等が調査・分析し、修正プログラム（パッチ）や対策情報を公開します。

しかし、脆弱性対策情報の公開前に攻撃者が脆弱性の存在を知った場合、当該ソフトウェアの脆弱性を悪用したゼロデイ攻撃を仕掛けるおそれがあります。

ゼロデイ攻撃が行われると、ウイルス感染や情報漏えい、Webページやファイルの改ざん等の被害が発生し、事業やサービスが停止する可能性があります。

また、多くのシステムやユーザーに利用されているソフトウェアの脆弱性がゼロデイ攻撃に悪用された場合、被害が広範囲に及び、社会が混乱状態に陥るおそれもあります。

未知の脆弱性を悪用した攻撃を受けた場合は、被害者が攻撃されたことに気付かないケースもあります。

仮に攻撃に気付いたとしても、脆弱性の対策情報が公開されていないために、適切な対応を取れないことが想定されます。

ユーザー側がパッチを未適用状態のNデイ脆弱性*1を悪用するケースとは異なり、脆弱性対策情報が公開されてはいるものの、ゼロデイ攻撃への対策を行うことは非常に困難です。

*1 Nデイ脆弱性：
すでに公開されている脆弱性で、ベンダーや開発者等がパッチを提供もしくは作成中でユーザーは実装を待っている状態のもの。
（詳細はこちらの記事【令和７年度版】中小企業におけるセキュリティ脅威への対策強化　～システムの脆弱性を突いた攻撃への対策を学ぶ～を参照してください）

３．代表的な攻撃例

ソフトウェアの脆弱性の悪用

開発ベンダー等が脆弱性対策情報を公開する前に、攻撃者はその脆弱性を悪用して攻撃します。

悪用の手口は、脆弱性によって異なります。例えば、通信プロトコルの脆弱性を悪用したDDoS攻撃（分散型サービス妨害攻撃）*2、アプリケーションの脆弱性を悪用した簡易プログラム（スクリプト）の実行、OSの脆弱性を悪用した特権アカウントの作成等があります。

*2 DDoS（Distributed Denial of Service）攻撃：
攻撃対象となるWebサーバーなどに対し、複数のコンピューターから大量のパケットを送りつけることで、正常なサービス提供を妨げる行為を指します。

４．ゼロデイ攻撃の事例

【事例１：P社製機器のOSの脆弱性を悪用したゼロデイ攻撃】

2024 年 4 月 12 日（米国時間）、P社は同社製品OS の某機能において、認証されていない遠隔の第三者によって、root権限で任意のコード実行ができる脆弱性があることを公表、この脆弱性を悪用したゼロデイ攻撃も確認されました。この脆弱性は、深刻度 （CVSS v3.0）のベーススコアが最大の 10.0 と評価され、脆弱性を悪用した攻撃が国内外で確認されました。他方、IPA、JPCERT/CC からは、侵害調査 の推奨等の注意喚起が行われました。 参照元：IPA　情報セキュリティ10大脅威 2025 解説書

【事例２：C社製品へのゼロデイ攻撃】

2023年10月、C社は同社製品にリモートから認証がなくとも特権アカウントを作成できる脆弱性があり、9月中旬よりゼロデイ攻撃が行われていたと公表しました。

同社は、顧客のサポート中に本脆弱性を確認しており、本製品の利用者に対して開発ベンダー等が推奨する対策を講じるとともに、侵害を受けていないか確認するように呼びかけています。

これらは典型的なゼロデイ攻撃の事例です。ほとんどの場合、脆弱性による攻撃の被害が出てからでないと、脆弱性の存在に気が付かず対策が打てないことがお判りになるかと思います。

５．ゼロデイ攻撃への対策

ゼロデイ攻撃への対策を、「経営者の観点」「管理者の観点」で説明します。

（１）経営者の観点

◇被害の予防

・インシデント対応体制を整備し、実際のインシデント時に対応します※

（２）管理者（セキュリティ担当者・システム管理者）の観点

◇被害の予防

・IPAの「情報セキュリティ10大脅威 2025 解説書(組織編)」の9ページ、表1.4「情報セキュリティ対策の基本」＋αを実施  

• 資産の把握、対応体制の整備
• セキュリティのサポートが充実しているソフトウェアやバージョンを使用します
• 修正プログラムや回避策の提供が迅速である製品や開発ベンダーを利用し、サポート対象のソフトウェアを使用します
• 利用するソフトウェアの脆弱性情報の収集と周知、対策状況の管理
• サーバーやクライアント、ネットワークに適切なセキュリティ対策を行います※
  

◇被害の早期検知

・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行います※

◇修正プログラムのリリース前の対応

・回避策や緩和策の適用

・当該ソフトウェアの一時的な使用停止。場合によってはサービスの停止も検討します

◇修正プログラムリリース後の対応

・修正プログラムの適用。必要に応じて回避策、緩和策を無効化します

◇被害を受けた後の対応

・影響調査および原因の追究、対策の強化

・適切な報告／連絡／相談を行います※

「※」の詳細については、IPAの「情報セキュリティ10大脅威 2025解説書」の36ページの「共通対策」をご参照ください。


ここまでゼロデイ攻撃について考えてきましたが、いかがだったでしょうか。

ゼロデイ攻撃は基幹となる重要ソフトウェアの未解決な脆弱性を狙う攻撃のため、利用者側で完全に防ぐことは困難です。

自社で使用しているソフトウェアの修正プログラムが各端末で適用されているのか、定期的に確認を行い、適切なセキュリティ対策を導入しましょう。たとえ攻撃を受けたとしても対処できるよう、事前の準備が重要になると言えます。

常にこのような脅威への準備を万全にすることが、企業の持続可能な発展を支える鍵となります。

６．事例

事例を見る
1. P社製OSコマンドインジェクションの脆弱性に関する注意喚起

2. 「IOS XE」の深刻なゼロデイ脆弱性 – JPCERT/CCも攻撃被害を確認（Security NEXT）


※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。