ゼロデイ攻撃とは？企業が押さえておくべきしくみと対策をわかりやすく解説

Webアプリケーションの開発や運用を担当する方にとって、「ゼロデイ攻撃」は無視できない脅威です。ゼロデイ攻撃は、パッチ(修正プログラム)が提供される前の脆弱性を狙う極めて危険なサイバー攻撃です。

この記事では、ゼロデイ攻撃のしくみから実際の被害事例、実践的な対策まで、公的機関の情報をもとに解説します。

この記事でわかること

• ゼロデイ攻撃のしくみ
• 実際に発生した被害事例から学ぶ攻撃の深刻さ
• Webアプリケーション開発者が実践できる7つの具体的対策

この記事を監修した人

増井敏克

増井技術士事務所 代表

技術士（情報工学部門）、テクニカルエンジニア（ネットワーク、情報セキュリティ）、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとしても活動。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発を行っている。著書に『IT用語図鑑』『図解まるわかり セキュリティのしくみ』『どうしてこうなった？セキュリティの笑えないミスとその対策51』『「技術書」の読書術』『実務で役立つ ログの教科書』など。

ゼロデイ攻撃とは何か

ゼロデイ攻撃とは、ソフトウェアやシステムの脆弱性が発見されてから、開発元がパッチを提供するまでの間に行われるサイバー攻撃のことです。防御側に対処の猶予がほとんどない（事実上「ゼロ日」）ことから、この名前が付けられました。

「最新のパッチを適用していたのに攻撃された」
「セキュリティソフトが検知しなかった」

こうした事態が起きた場合、ゼロデイ攻撃が原因である可能性があります。パッチが存在しないため、パッチ適用やシグネチャベース（既知の攻撃パターンを検知する方式のセキュリティ対策）では防ぐことが極めて困難で、攻撃の成功率が高く、検知も難しいという特徴があります。

独立行政法人情報処理推進機構（IPA）では、ソフトウェアの脆弱性に関する情報を収集・公開し、開発者や利用者に対して適切な対策を促しています。脆弱性が発見された際の迅速な対応が、被害を最小化する鍵となります。

※参考：情報セキュリティ早期警戒パートナーシップガイドライン

Nデイ攻撃との違い

ゼロデイ攻撃と似た言葉で「Nデイ攻撃」というものがあります。サイバー攻撃ではよく聞く言葉なので違いを把握しておきましょう。

Nデイ攻撃（N-day攻撃）とは、パッチが公開されてから一定期間（N日）経過した後も、パッチを適用していないシステムを狙う攻撃です。パッチ適用には、システムへの影響確認やテスト期間が必要なため、公開から適用までにタイムラグが生じることがあり、その間が攻撃者にとって狙い目となります。

以下の表で比較してみましょう。

Nデイ攻撃はパッチ適用で防げても、ゼロデイ攻撃はパッチ自体がないため、どれほど堅牢な組織でも侵入を許す可能性があります。このため、多層防御と異常検知のしくみを組み合わせた対策を検討します。

例えば、Webアプリケーション開発者は『自社のコードに未発見の脆弱性が潜んでいる』『使用しているフレームワークやライブラリに脆弱性がある』という前提で、セキュアコーディングと定期的な診断、使用しているフレームワークやライブラリの更新を徹底してください。

ゼロデイ攻撃のしくみと発生タイミング

ゼロデイ攻撃が最も危険なのは、脆弱性が公表されてからパッチが提供されるまでの「数時間から数日」です。この短い期間が、攻撃者にとっては「ゴールデンタイム」となります。2021年に発見された「Log4Shell」と呼ばれるApache Log4jの脆弱性の事例では、脆弱性公表からわずか数時間のうちに世界中で攻撃が始まりました。

ゼロデイ攻撃は、大きく分けて以下の2つの段階で発生します。

第1段階：脆弱性が未公開の時点

攻撃者が脆弱性を独自に発見し、開発元が把握する前に密かに攻撃を仕掛けます。この段階では、開発元もユーザーも脆弱性の存在を知らないため、検知が極めて困難です。多層防御と異常検知による対策がゼロデイ攻撃による被害を低減する上で主要な手段となります。

第2段階：脆弱性が公開されパッチ開発中の時点

脆弱性が公表されると、攻撃者は公開された情報をもとに攻撃を開始します。このため、JVNやJPCERT/CCの早期警戒情報を常時監視し、回避策があれば実施する、パッチが公開されれば数時間以内に適用する体制が不可欠です。日本では、JPCERT/CCとIPAが運営する「Japan Vulnerability Notes（JVN）」が、脆弱性情報を日本語で提供しています。

※参考：JPCERT/CC・IPA運営「Japan Vulnerability Notes (JVN)」

ゼロデイ攻撃で悪用される主な脆弱性

ゼロデイ攻撃では、Webアプリケーションの脆弱性（SQLインジェクション、XSS、リモートコード実行など）や、OS・ミドルウェアの脆弱性、フレームワークやライブラリの脆弱性が悪用されることが多いです。これらの攻撃手法自体は既知のものですが、未知の脆弱性を突くため、従来の対策では検知できません。

OWASP（Open Web Application Security Project）が公開する「OWASP Top 10」では、Webアプリケーションにおける最も重大なセキュリティリスクがまとめられています。例えば、2025年バージョンのOWASP Top 10では以下のようなリスクが挙げられています。

• アクセス制御の不備：権限のないユーザーが機密情報にアクセスできてしまう
• 暗号化の失敗：パスワードやクレジットカード情報が暗号化されずに保存される
• インジェクション：SQLインジェクションなど、不正なコードが実行される
• 安全でない設計：セキュリティへの考慮が不足して設計されたシステム

これらの脆弱性がゼロデイとして発見されると、パッチが提供されるまでの間、攻撃者に悪用されるリスクがあります。

ソフトウェアやOSの脆弱性を悪用する攻撃

Webアプリケーション以外にも、ブラウザやOS、ミドルウェアの脆弱性が悪用されます。ブラウザの脆弱性では悪意のあるWebサイトにアクセスしただけでマルウェアに感染したり、任意のコードが実行されたり、情報が窃取されたりする可能性があり、OSのカーネル脆弱性では一般ユーザー権限から管理者権限への昇格が可能になります。

IPAが運営する「JVN iPedia（脆弱性対策情報データベース）」では、国内外のソフトウェア製品の脆弱性情報を検索できます。

※参考：IPA「JVN iPedia（脆弱性対策情報データベース）」

ゼロデイ攻撃の実際の被害事例

「まさか自分たちが狙われるとは思わなかった」

これは、ゼロデイ攻撃の被害に遭った多くの企業の担当者が口にする言葉です。Apache Log4jの「Log4Shell」と呼ばれる脆弱性では数百万のシステムが影響を受け、2021年に発生したMicrosoft Exchangeサーバーへの攻撃では少なくとも数万もの組織が被害に遭いました。脆弱性公表から数時間で攻撃が始まることがあるという現実を、具体的な事例から学びましょう。

事例1：Apache Log4jの脆弱性（2021年）

2021年12月に発見されたApache Log4jの脆弱性（通称「Log4Shell」）は、近年最も深刻なゼロデイ脆弱性の一つとされています。Log4jは、Javaアプリケーションで広く使われているログ出力ライブラリです。攻撃者は細工したログメッセージを送信するだけで、リモートから任意のコードを実行できる状態になりました。

• 世界中の数百万のシステムが影響を受けた
• 脆弱性公表からわずか数時間で攻撃が開始

• SBOM（ソフトウェア部品表）を導入・活用し、自社システムで利用しているライブラリとそのバージョンを正確に把握する体制を構築する
• 脆弱性発見時に迅速対応できる体制を整備する
• ライブラリのバージョン管理を徹底する

※参考：JVN「JVNVU#96768815 - Apache Log4j における任意のコード実行の脆弱性」

事例2：Microsoft Exchangeサーバーへの攻撃（2021年）

2021年3月、Microsoft Exchangeサーバーに複数のゼロデイ脆弱性が発見され、世界中で悪用されました。4つの脆弱性を組み合わせることで、攻撃者は認証を回避してサーバーに侵入し、メールの窃取やマルウェアの設置が可能になりました。

• 全世界で少なくとも数万、一説には数十万の組織が影響を受けたと推定
• 特に中小企業での被害が目立った

• 脆弱性情報（JVNやJPCERT/CCなど）を定期的に収集する担当者を決め、緊急パッチが公開された際の適用手順や影響範囲の確認プロセスを事前に定めておく
• パッチ適用の遅れが被害拡大につながる
• オンプレミス環境は能動的な管理が必要

※参考：JPCERT/CC「Microsoft Exchange Server の脆弱性に関する注意喚起」
　　　　https://www.ipa.go.jp/security/10threats/index.html

これらの事例に共通するのは、脆弱性の発見から攻撃の本格化までの時間が非常に短いということです。Log4Shellの場合、脆弱性が公表されてから数時間で攻撃が始まりました。つまり、脆弱性情報を常に監視し、パッチが公開されたら即座に適用できる体制が生死を分けます。また、ゼロデイ攻撃に備えるには、『侵入を前提とした対策』も必要です。多層防御、ネットワークのセグメント化、異常検知システムなど、攻撃が成功しても被害を最小化できるしくみを構築してください。

ゼロデイ攻撃の標的となりやすい組織の特徴と対策

「うちは大企業じゃないから狙われない」と考えていませんか？中小企業もゼロデイ攻撃の標的になる可能性があります。大企業の取引先として、セキュリティの穴を突かれるケースが増えています。

狙われやすい組織の3つの特徴

特徴1：大企業のサプライチェーンに属する中小企業

攻撃者は、大手企業に直接侵入するのではなく、セキュリティ対策が比較的手薄な取引先の中小企業を経由して侵入する「サプライチェーン攻撃」を仕掛けることがあります。中小企業は予算や人員の制約からセキュリティ対策が手薄になりがちで、攻撃者にとって格好の標的となります。IPAの「情報セキュリティ10大脅威 2025」でも、「サプライチェーンや委託先を狙った攻撃」が第2位 にランクインしており、取引先企業を経由して大手企業が狙われる事例が報告されています。

※参考：IPA「情報セキュリティ10大脅威 2025」

特徴2：顧客の個人情報や決済情報を大量に保有する組織

ECサイト運営企業、医療機関、金融機関、教育機関など、個人情報やクレジットカード情報を扱う組織は、情報の金銭的価値が高いため狙われやすくなります。

特徴3：セキュリティ人材や予算が不足している組織

専任のセキュリティ担当者がいない、またはIT部門が他の業務と兼任している組織は、脆弱性情報の収集やパッチ適用が遅れがちです。特に中小企業や地方自治体では、限られたIT人材で多数のシステムを管理しているケースが多く、迅速なセキュリティ対策の実施が課題となっています。

※参考：IPA「中小企業の情報セキュリティ対策ガイドライン」

ゼロデイ攻撃への7つの実践的対策

ここからは、Webアプリケーション開発者や運用担当者が実践できる具体的な対策を、優先度の高い順に紹介します。

対策1：多層防御（Defense in Depth）の実装

複数のセキュリティ対策を組み合わせ、一つが突破されても他の層で攻撃を防ぐ体制を構築します。ファイアウォール、WAF、データベースのアクセス制御など、ネットワーク層・アプリケーション層・データ層それぞれで独立した防御機構を設けます。

※参考：国家サイバー統括室

対策2：WAF（Web Application Firewall）の導入

WAFはWebアプリケーションへの攻撃を検知・防御する専用ファイアウォールです。AI技術を搭載した最新WAFは学習機能により未知の攻撃パターンを検知できる可能性が向上していますが、完全ではなく、誤検知や検知漏れも発生しうるため、他の対策と組み合わせることが重要です。また、「仮想パッチ(Virtual Patch)」機能により、パッチ提供前にWAF側で攻撃をブロックできます。

※参考：IPA「安全なウェブサイトの作り方」

対策3：侵入検知・防御システム（IDS/IPS）の活用

IDS/IPSは異常なトラフィックを検知・ブロックし、行動パターン分析により未知の攻撃を検知できる可能性がありますが、完全ではないため多層防御が必要です。

対策4：定期的なセキュリティ診断の実施

脆弱性診断では既知の脆弱性だけでなく、設定ミスや設計上の問題も発見できる場合があります。ペネトレーションテストで攻撃者視点からシステムの弱点を評価し、ゼロデイ攻撃で狙われる可能性のある箇所を特定できる可能性があります。

※参考：経済産業省「サイバーセキュリティ経営ガイドライン」

対策5：迅速なパッチ適用とアップデート管理

脆弱性が公表されパッチが提供されたら、できるだけ早く適用することが重要です。

【対応の基本フロー】

1. 脆弱性情報の収集と自社システムへの影響確認
2. 緊急度の評価とパッチ適用計画の策定
3. テスト環境での検証（可能な場合）
4. 本番環境への適用

WebサーバーやWebアプリケーションでは、システムへの影響を確認してから段階的に適用する必要がありますが、重大な脆弱性の場合は数時間～数日以内の対応が求められます。パッチ適用前の暫定対策として、WAFでの防御ルール追加や該当機能の一時停止なども検討しましょう。

個人利用のPCやブラウザであれば、自動更新を有効にして即座に適用できる状態を保ちましょう。

JPCERT/CCやJVNが発信する脆弱性情報を定期的にチェックし、迅速に対応できる体制を整えることが重要です。

※参考：JPCERT/CC「注意喚起」 ,JVN

対策6：最小権限の原則の徹底

ユーザーやシステムの権限は業務に必要な最小限にとどめ、万が一侵入された場合の被害範囲を限定します。データベースアクセス、管理者権限、ファイルの読み書き権限などを定期的に見直し、不要な権限は削除します。権限が必要な場合は、管理者経由で申請して一時的に権限を付与することにし、作業が終わった時にその権限を削除します。

対策7：セキュリティ監視とインシデント対応体制の整備

24時間365日システムを監視し、異常検知時に即座に対応できる体制を構築します。自社でSOC（Security Operation Center）設置が難しい場合は、専門業者への委託を検討しましょう。インシデント発生時の対応手順書を作成し、定期的に訓練を実施します。

※参考：JPCERT/CC「CSIRTマテリアル」

リスクへの対応方法として、「リスク回避」「リスク低減」「リスク移転」「リスク保有」が知られています。上記で挙げられているような対策は、リスクの回避や低減に該当します。上記の対応が難しい場合は、リスク移転やリスク保有について検討することも考えましょう。

ゼロデイ攻撃への対策でよくある質問

「完全に防ぐことはできるのか？」
「自社が攻撃を受けているか確認する方法は？」

セキュリティ対策を検討する中で、多くの方が抱く疑問があります。ここでは、現場でよく聞かれる2つの質問に回答します。

Q1. ゼロデイ攻撃は完全に防ぐことができますか？

残念ながら、ゼロデイ攻撃を完全に防ぐことは現実的に困難です。なぜなら、パッチが存在しない脆弱性を悪用するため、従来のパッチ適用やシグネチャベースの検知では対応できないからです。

しかし、多層防御と迅速な対応によって、被害を最小化できる可能性があります。NCOの「政府機関等の情報セキュリティ対策のための統一基準群」でも、完全な防御ではなく、リスクを適切に評価した上で、リスクの回避、低減、移転、受容といった対応を組み合わせ、被害を最小化することが推奨されています。

Q2. 個人でできるゼロデイ攻撃対策はありますか？

A. 個人レベルでも、以下の基本的な対策を実施することで、ゼロデイ攻撃のリスクを減らすことができます。

1．信頼できないサイトやメールのリンクを開かない

不審なメールの添付ファイルやリンクは開かず、送信者が本当に信頼できるか確認してください。

2．権限を最小限にする

管理者権限での常用を避け、通常のユーザー権限で作業することで、万が一攻撃を受けた際の被害を軽減できます。

3．使用するソフトウェアを最小限にする

不要なソフトウェアやプラグインは削除し、攻撃対象となる範囲を減らしましょう。
IPAでは、個人が実践すべきセキュリティ対策を公開しています。

※参考：IPA「情報セキュリティ　安心相談窓口　日常における情報セキュリティ対策」

Q3. 自社のWebアプリケーションがゼロデイ攻撃を受けているか確認する方法は？

ゼロデイ攻撃は通常の動作と見分けがつきにくいよう巧妙に行われることが多いため、発見は容易ではありません。しかし、異常なアクセスログの監視、システムパフォーマンスの急激な変化、不正なデータ送信の検知などに注意することで、早期発見につながる可能性があります。

専門のセキュリティ監視サービス（MSS）を活用することで、24時間体制で異常を検知し、専門家による分析を受けることができます。万が一攻撃を受けていると疑われる場合は、JPCERT/CCにインシデント報告を行い、専門家のアドバイスを受けることをお勧めします。

ゼロデイ攻撃への備えは継続的な取り組みが鍵

ゼロデイ攻撃は、パッチが存在しない脆弱性を狙う極めて危険なサイバー攻撃です。完全な防御は困難ですが、多層防御、迅速なパッチ適用、定期的なセキュリティ診断を組み合わせることで、被害を大幅に軽減できる可能性があります。

特に重要なのは、以下の3点です。

複数の防御層を組み合わせる
単一の対策に頼らず、ネットワーク層、アプリケーション層、データ層のそれぞれで防御を実施することで、攻撃の成功を困難にし、万が一侵入された場合でも被害を最小限に抑えることができます。

公的機関の情報を定期的にチェックする
IPA、JPCERT/CC、JVNなどが提供する最新の脆弱性情報や対策情報を定期的に確認し、自社のシステムに影響がないか検証しましょう。

インシデント対応体制を整備する
攻撃を受けた際に迅速かつ適切に対応できるよう、事前に対応手順を策定し、定期的な訓練を実施してください。

ゼロデイ攻撃への対策は、一度実施すれば終わりというものではありません。新たな脆弱性は日々発見されており、攻撃手法も進化し続けています。継続的なセキュリティ対策の実施と改善が、Webアプリケーションと企業の信頼を守る鍵となります。

ユービーセキュアでは、Webアプリケーションの脆弱性診断をはじめ、セキュリティ体制の強化を支援するさまざまなサービスを提供しています。ゼロデイ攻撃への備えを含め、自社のセキュリティ対策にお悩みの方はお気軽にご相談ください。

詳細はこちら

詳細はこちら

【無料】資料ダウンロード

「何から始めればいい？」がゼロになる！セキュリティ対策スタートガイド

セキュリティ担当を任されたけど、何から手をつけていいかわからない。そんな悩みに応える、初心者向けスタートガイドです。 基本的な考え方から具体的な対策まで、順を追って分かりやすく整理しています。

• セキュリティの基本的な考え方と全体像
• 最初に取り組むべき具体的な対策
• 「まずこれだけは」の厳選対策を紹介