ゼロデイ攻撃2026 - 検知できない脅威にどう備える

中級 | 12分 で読める | 2026.04.19

公式ドキュメント
セキュリティゼロデイ脆弱性管理CVE

この記事の要点

• 2025年に90件のゼロデイ脆弱性が悪用され、うち48%が企業向け製品を標的に
• パッチ公開前に攻撃される「真のゼロデイ」は全体の32.1%に達し、8.5%増加
• 国家・スパイウェアベンダー・ランサムウェア集団が主要攻撃主体
• EDR・XDR・SBOM・Zero Trustを組み合わせた多層防御が必須
• 日本ではJPCERT/CCとIPAが脆弱性情報の受付・調整を担当

ゼロデイ攻撃とは何か

ゼロデイ攻撃(Zero-Day Attack)は、ソフトウェアベンダーがパッチを公開する前に、未知の脆弱性を悪用する攻撃手法です。「ゼロデイ」という名称は、開発者がバグを認識してから修正するまでの日数が「ゼロ日」、つまり防御側に対応時間がまったくない状態を意味します。

2025年、Google Threat Intelligence Groupの調査によると90件のゼロデイ脆弱性が実際に悪用されました。これは2024年の75件から20%増加しており、過去5年間で60〜100件の範囲で高止まりしています。

注意: 本記事は一般的な技術情報の提供を目的としています。組織の本番環境におけるセキュリティ対策の個別判断については、専門家やセキュリティベンダーに相談してください。

ゼロデイ・N-day・1-dayの違い

攻撃のタイミングによって脆弱性エクスプロイトは以下のように分類されます。

分類定義パッチ状況検知難易度2025年割合
ゼロデイ (0-day)パッチ公開前に攻撃パッチなし極めて高い32.1%
1-dayパッチ公開後24時間〜数日で攻撃パッチあり(未適用)高い含まれず
N-dayパッチ公開後、数週間〜数年後に攻撃パッチあり(未適用)中〜低67.9%

VulnCheckの調査によれば、CISAのKEV(Known Exploited Vulnerabilities)の32.1%が、CVE公開日またはそれ以前に攻撃証拠が確認された「真のゼロデイ」でした。これは2024年の23.6%から8.5ポイント増加しており、攻撃者の機動力向上を示しています。

ポイント: 1-day攻撃も実質的には防御側が対応できない点でゼロデイと同様の脅威です。パッチ適用までの時間をいかに短縮するかが鍵になります。

2024〜2026年の主要ゼロデイ事例

Ivanti Connect Secure VPN (2024〜2025)

CVE-2024-21887、CVE-2025-0282、CVE-2025-22457など、Ivantiの VPN製品は継続的にゼロデイ攻撃の標的となりました。中国関連の脅威グループ UNC5221 は、これらの脆弱性を連鎖させて認証バイパスとリモートコード実行を達成し、ウェブシェルを埋め込みました。

影響範囲: 全世界で数千台の VPN アプライアンスが侵害され、MITRE R&D ネットワークを含む重要インフラが被害を受けました。

Ivanti Cloud Service Appliance (2024)

CVE-2024-8963(管理者バイパス)、CVE-2024-9379(SQL インジェクション)、CVE-2024-8190・CVE-2024-9380(RCE)の4つの脆弱性が連鎖攻撃に使われました。CISAとFBIは2024年9月に共同勧告を発表しています。

Microsoft製品 (2025)

2025年に発見されたゼロデイ脆弱性のうち25件がMicrosoft製品で、全体の約28%を占めました。Windows、Office、Exchange Server、Active Directoryなど幅広い製品が対象となっています。

モバイルOS (2025)

モバイルデバイスのゼロデイは2024年の9件から2025年には15件に増加しました。iOS(Apple)とAndroid(Google)の両方で、スパイウェアベンダーが提供するエクスプロイトチェーンが使われています。

# Shell: bash 5.x
# CVE検索の例(NVDを使った最新ゼロデイの確認)
curl -s "https://services.nvd.nist.gov/rest/json/cves/2.0?keywordSearch=zero-day&resultsPerPage=10" | \
  jq '.vulnerabilities[] | {id: .cve.id, published: .cve.published, severity: .cve.metrics.cvssMetricV31[0].cvssData.baseSeverity}'

なぜゼロデイは検知が困難なのか

シグネチャの非存在

従来型のアンチウイルス・IDS/IPSは、既知のマルウェアや攻撃パターンの「シグネチャ」と照合して脅威を検知します。ゼロデイ攻撃は定義上、シグネチャデータベースに存在しないため、パターンマッチングでは検知できません。

挙動ベース検知の限界

EDR(Endpoint Detection and Response)は挙動ベースで異常を検知しますが、以下の理由で完全ではありません。

  • 正常動作との区別困難: 脆弱性を突く初期段階の動作は、正常なプロセスとほぼ同一に見える
  • ファイルレス攻撃: メモリ上でのみ動作し、ディスクに痕跡を残さない手法が増加
  • 権限昇格後の偽装: 正規のシステムツール(PowerShell、WMI、Windowsバイナリ)を使った攻撃は異常とみなされにくい

サプライチェーン攻撃との組み合わせ

ゼロデイ脆弱性が正規のソフトウェアアップデート経路や信頼されたサードパーティライブラリに混入すると、検知はさらに困難になります。

実践メモ: CISAのKEVカタログを週次でチェックし、自組織の資産リストと突合するプロセスを構築しましょう。KEVに追加されたら48時間以内にパッチ適用が推奨されます。

ゼロデイ攻撃マーケットの構造

主要プレイヤー

ゼロデイ市場には以下の主体が存在します。

flowchart LR
    A[脆弱性研究者] --> B[エクスプロイトブローカー]
    B --> C1[政府機関]
    B --> C2[スパイウェアベンダー]
    A --> D[バグバウンティ]
    A --> E[CVE開示]
    
    C1 --> F[諜報活動]
    C2 --> G[商用監視]
  1. 脆弱性研究者: セキュリティリサーチャー、大学研究機関、個人ハッカー
  2. エクスプロイトブローカー: Zerodium、Crowdfense、その他非公開ブローカー
  3. 購入者: 政府・軍・諜報機関、スパイウェアベンダー(NSO Group、Candiru など)
  4. 最終利用者: 国家APTグループ、法執行機関、権威主義国家の監視機関

価格相場(2025年時点)

Zerodiumは2025年1月に公開サイトを閉鎖しましたが、閉鎖直前の価格リストは以下の通りでした。

エクスプロイト種類対象プラットフォーム価格(USD)
ゼロクリック・フルチェーンiOS最大250万ドル
ゼロクリック・フルチェーンAndroid最大200万ドル
ブラウザリモートコード実行Chrome/Safari/Edge最大50万ドル
チャットアプリ RCEWhatsApp/Signal/Telegram最大50万ドル
VPN/ファイアウォール RCE企業製品最大10〜30万ドル

これらの価格は、公式バグバウンティの10〜100倍に達します。経済合理性から、多くの研究者が高額報酬のブローカー市場を選択するインセンティブが働いています。

商用監視ベンダーの台頭

2025年、Googleの調査では42件のユニークなゼロデイのうち18件がCSV(Commercial Surveillance Vendor)によるもので、国家スポンサー型(15件)を初めて上回りました。これはジャーナリスト、人権活動家、反体制派への監視需要が商業化されている証左です。

防御スタック:EDRからXDRへ

従来型防御の限界

防御技術検知方式ゼロデイ対応力
アンチウイルスシグネチャマッチング❌ 極めて低い
IDS/IPSパケットパターンマッチ❌ 低い
ファイアウォールポート・プロトコル制御❌ 低い
SIEMログ相関分析△ 既知の攻撃パターンのみ

次世代防御技術

EDR (Endpoint Detection and Response)

エンドポイントの挙動を継続的に監視し、異常なプロセス起動・ファイル操作・ネットワーク通信を検知します。CrowdStrike、SentinelOne、Microsoft Defender for Endpointなどが代表的です。

ゼロデイ対応能力: プロセスインジェクション、権限昇格、ラテラルムーブメントなど、攻撃チェーンの中間段階を検知できます。

XDR (Extended Detection and Response)

EDRの範囲をネットワーク、クラウド、Email、IDまで拡張し、複数セキュリティレイヤーのテレメトリを統合して分析します。

# Python 3.11 (擬似コード)
# Source: MITRE ATT&CK Framework, Tactics TA0002-TA0011
# https://attack.mitre.org/

def detect_zero_day_chain(telemetry):
    indicators = {
        "unusual_process_ancestry": False,
        "network_to_rare_destination": False,
        "privilege_escalation_attempt": False,
        "credential_dumping_behavior": False,
        "lateral_movement_pattern": False,
    }
    
    # エンドポイントテレメトリ
    if telemetry.endpoint.parent_process not in KNOWN_SAFE_PARENTS:
        indicators["unusual_process_ancestry"] = True
    
    # ネットワークテレメトリ
    if telemetry.network.destination_ip not in ALLOW_LIST:
        indicators["network_to_rare_destination"] = True
    
    # アイデンティティテレメトリ
    if telemetry.identity.lsass_access_detected:
        indicators["credential_dumping_behavior"] = True
    
    # 複数の弱いシグナルを統合して強い確信度を生成
    risk_score = sum(indicators.values()) * 20
    if risk_score >= 60:
        return {"alert": True, "risk_score": risk_score, "tactics": ["TA0004", "TA0006"]}

SBOM (Software Bill of Materials)

ソフトウェアの全依存関係を可視化し、脆弱性が公開された瞬間に影響範囲を特定できます。Log4Shell(CVE-2021-44228)のような広範囲の脆弱性に対処する際に不可欠です。

関連:SBOM 2025 - ソフトウェアサプライチェーンの透明性革命

# Shell: bash 5.x
# SBOMの生成例(Syft + Grypeによる脆弱性スキャン)
syft dir:. -o spdx-json > sbom.json
grype sbom:sbom.json --only-fixed

Zero Trust Architecture

「境界防御」から「信頼しない前提」への転換です。すべてのネットワークトラフィック・ユーザー・デバイスを継続的に検証します。

関連:Zero Trust 2025 - 境界防御からの脱却

多層防御の実装例

ポイント: ゼロデイ攻撃に対しては「単一の銀の弾丸」は存在しません。多層防御(Defense in Depth)により、攻撃チェーンのどこかで検知・遮断する確率を高めることが現実的な戦略です。

多層防御の実装例:

  • Layer 1: ネットワークセグメンテーション(攻撃の横展開を防ぐ)
  • Layer 2: EDR/XDR(異常挙動を検知)
  • Layer 3: 特権アクセス管理(PAM)(高権限操作を制限)
  • Layer 4: ログ統合・SIEM(事後分析と早期警告)
  • Layer 5: インシデント対応計画(封じ込め・復旧手順)

日本におけるゼロデイ対策のエコシステム

JPCERT/CC(JPCERTコーディネーションセンター)

日本国内の脆弱性情報ハンドリングの中核組織です。以下の役割を担っています。

  • 海外CSIRT(CERT/CC、NCSC等)との情報連携
  • 国内ベンダーへの脆弱性通知と調整
  • 早期警戒パートナーシップによる情報共有
  • インシデント対応支援

サービス: JPCERT/CC 早期警戒情報を購読することで、国内で影響の大きい脆弱性の速報を受け取れます。

IPA(情報処理推進機構)

IPAは「情報セキュリティ早期警戒パートナーシップ」を運営し、脆弱性情報の受付窓口として機能します。

  • 脆弱性届出: 研究者が発見した脆弱性を届け出る窓口
  • JVN(Japan Vulnerability Notes): JPCERT/CCと共同運営する脆弱性データベース
  • サイバーセキュリティ注意喚起: 一般利用者・企業向けの警告発信

経済産業省・サイバーセキュリティ基本法

日本では「サイバーセキュリティ基本法」(2014年制定、2021年改正)に基づき、重要インフラ事業者に対してセキュリティ対策基準の遵守が求められています。

経済産業省は以下のガイドラインを提供しています。

  • 「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」
  • 「産業サイバーセキュリティ研究会 WG1 最終報告書」

2024年には重要インフラ14分野(電力、ガス、水道、金融、情報通信、鉄道、航空、医療など)に対し、ゼロデイを含む重大脆弱性への72時間以内の初動対応が求められるようになりました。

開発者が今すぐできる対策

1. 依存関係の継続的監視

# Shell: bash 5.x
# 依存関係の脆弱性スキャン(Node.js の例)
npm audit --audit-level=high

# 自動修正の実行
npm audit fix

# Python の例(pip-audit)
pip install pip-audit
pip-audit --fix

2. CVE情報の購読

以下のフィードを定期購読します。

3. SBOM生成の自動化

CI/CDパイプラインにSBOM生成を組み込みます。

# GitHub Actions の例
name: Generate SBOM
on: [push]
jobs:
  sbom:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Generate SBOM with Syft
        uses: anchore/sbom-action@v0
        with:
          format: spdx-json
          output-file: sbom.spdx.json
      - name: Upload SBOM
        uses: actions/upload-artifact@v4
        with:
          name: sbom
          path: sbom.spdx.json

4. 最小権限の原則

アプリケーションが必要とする最小限の権限のみを付与します。コンテナ実行時には以下を検討します。

# Dockerfile の例(非rootユーザーで実行)
FROM node:20-alpine
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser
WORKDIR /app
COPY --chown=appuser:appgroup . .
RUN npm ci --only=production
CMD ["node", "server.js"]

5. 定期的なペネトレーションテスト

少なくとも四半期に1回、外部の専門家によるペネトレーションテストを実施し、既知・未知の脆弱性を発見します。

関連:DevSecOps 2025 - セキュリティをシフトレフト

実践メモ: 脆弱性が発見されたら「認識→評価→修正→検証→展開」のサイクルを48時間以内に完結させる体制を目指しましょう。この速度が1-day攻撃から組織を守ります。

2026年の展望

攻撃側のトレンド

  • AIによるエクスプロイト自動生成: LLMが脆弱性発見とエクスプロイトコード生成を支援し、攻撃の敷居が下がる
  • クラウドネイティブ環境への標的シフト: Kubernetes、サービスメッシュ、サーバーレス関数の脆弱性が増加
  • サプライチェーンとゼロデイの融合: 正規アップデート経路を使ったゼロデイ配布

防御側のトレンド

  • AI駆動型XDR: 機械学習による異常検知精度の向上
  • SBOM義務化の拡大: 米国に続き、EUのCyber Resilience Act、日本の経済安全保障法制でSBOM提出が要求される
  • ゼロトラストの普及: NISTのSP 800-207、CISAのゼロトラスト成熟度モデルに基づく実装が標準化

NISTは2026年4月、CVE処理能力を強化し2025年に約42,000件のCVEを分析しましたが、提出数は2020年比で263%増加しており、2026年には11%増が予測されています。この増加ペースに対応するため、自動化されたスキャンとトリアージが不可欠です。

よくある誤解

Q1. アンチウイルスソフトを導入していればゼロデイ攻撃は防げる?

いいえ。従来型アンチウイルスはシグネチャベースのため、未知の脅威には対応できません。EDRやXDRなど挙動ベースの防御技術と組み合わせる必要があります。

Q2. ゼロデイ攻撃は大企業や政府機関だけが標的になる?

いいえ。商用監視ベンダーの普及により、中小企業や個人も標的になります。特にサプライチェーンの一部として狙われるケースが増えています。

Q3. パッチを迅速に適用すればゼロデイ攻撃は防げる?

部分的に正しいですが、「真のゼロデイ」はパッチが存在しない段階で攻撃されるため、パッチ適用だけでは不十分です。多層防御と異常検知が重要です。

まとめ

  • 2025年に90件のゼロデイ脆弱性が悪用され、うち48%が企業向け製品を標的にした過去最高水準
  • パッチ公開前に攻撃される割合は32.1%に達し、防御側の対応時間はますます短縮されている
  • 国家APT、商用監視ベンダー、ランサムウェア集団がゼロデイ市場の主要プレイヤー
  • EDR・XDR・SBOM・Zero Trustを組み合わせた多層防御により、攻撃チェーンのどこかで検知・遮断する戦略が現実的
  • 日本ではJPCERT/CC・IPA・経産省ガイドラインを活用し、KEVカタログの週次確認と48時間以内のパッチ適用を目指す
  • 開発者は依存関係監視・CVE購読・SBOM自動生成・最小権限原則の徹底で貢献できる

ゼロデイ攻撃を完全に防ぐことは不可能ですが、検知・封じ込め・復旧の速度を上げることで影響を最小化できます。2026年はAI駆動型の防御技術とSBOM義務化により、防御側の可視性と応答速度が飛躍的に向上する転換点になるでしょう。

参考リソース

おすすめ記事

最新情報

SBOM 2025 - ソフトウェアサプライチェーンの透明性革命

SBOMサプライチェーン
仕組み解説

Authorization ヘッダー - Basic / Bearer / API Key

HTTPヘッダー
仕組み解説

Cookie の仕組み - Set-Cookie / SameSite / Secure / HttpOnly

HTTPヘッダー
仕組み解説

ファイアウォール入門 - パケットフィルタとステートフル検査

セキュリティネットワーク
仕組み解説

TLS ハンドシェイクの流れ

セキュリティネットワーク
仕組み解説

WAF(Web Application Firewall)入門

セキュリティネットワーク

この技術を体系的に学びたいですか?

未来学では東証プライム上場企業のITエンジニアが24時間サポート。月額24,800円から、退会金0円のオンラインIT塾です。

メールで無料相談する
← 一覧に戻る