ゼロデイ( 0デイとも呼ばれる)とは、開発者やその脆弱性を軽減できる者が知らないコンピュータシステムの脆弱性またはセキュリティホールのことである。[ 1 ]脆弱性が修正されるまで、脅威の主体はゼロデイエクスプロイト、つまりゼロデイ攻撃でその脆弱性を悪用することができる。[2] [3]
「ゼロデイ」という用語は、もともと新しいソフトウェアが一般に公開されてから経過した日数を指していました。つまり、「ゼロデイソフトウェア」は、リリース前に開発者のコンピュータをハッキングすることで入手されたものでした。最終的に、この用語は、こうしたハッキングを可能にする脆弱性と、ベンダーがそれらを修正するために要した日数を指すようになりました。[4] [5] [6]脆弱性を発見したベンダーは、パッチを作成したり、脆弱性を軽減するための回避策を提案したりしますが、ユーザーはシステムから脆弱性を排除するために、その緩和策を適用する必要があります。ゼロデイ攻撃は深刻な脅威です。[7]
開発者は、完全に意図通りに動作する製品を提供することを目標としていますが、事実上すべての製品にはソフトウェアとハードウェアのバグが含まれています。[8]バグがセキュリティリスクを引き起こす場合、それは脆弱性と呼ばれます。脆弱性は、悪意のある攻撃者によって悪用される可能性が異なります。全く利用できないものもあれば、サービス拒否攻撃によってデバイスを混乱させるために利用できるものもあります。最も悪質な脆弱性は、攻撃者がユーザーに気付かれることなく独自のコードを挿入して実行することを可能にします。 [9]「ゼロデイ」という用語は、当初はベンダーが脆弱性を認識してからの期間を指していましたが、ゼロデイ脆弱性は、パッチやその他の修正プログラムが利用できない脆弱性のサブセットとしても定義できます。[10] [11] [12]ゼロデイエクスプロイトとは、このような脆弱性を悪用するエクスプロイトです。[9]
エクスプロイトとは、脆弱性を利用して標的のシステムに侵入し、業務の妨害、マルウェアのインストール、データの窃取などを行う配信メカニズムです。[13]研究者のリリアン・アブロン氏とアンディ・ボガート氏は、「ゼロデイエクスプロイトの真の範囲、用途、利点、そして害についてはほとんど知られていない」と記しています。[14]ゼロデイ脆弱性に基づくエクスプロイトは、既知の脆弱性に基づくエクスプロイトよりも危険であると考えられています。[15] [16]しかし、ほとんどのサイバー攻撃はゼロデイではなく、既知の脆弱性を利用している可能性が高いです。[14]
ゼロデイ脆弱性の主な利用者は政府です。これは、脆弱性を発見したり購入したりするコストが高いだけでなく、攻撃ソフトウェアを作成するコストも高額なためです。しかしながら、脆弱性は誰でも利用でき、[11] RAND Corporationの調査によると、「本格的な攻撃者であれば、ほぼあらゆる標的に対して、手頃な価格のゼロデイ脆弱性をいつでも入手できる」とのことです。[17]多くの標的型攻撃[18]や、ほとんどの高度な持続的脅威は、ゼロデイ脆弱性を利用しています。[19]
2017年には、ゼロデイ脆弱性を利用したエクスプロイトの開発にかかる平均時間は22日と推定されました。[20]一般的なソフトウェアのエクスプロイト対策機能の増加により、エクスプロイトの開発難易度は時間とともに上昇しています。[21]

ゼロデイ脆弱性は、多くの場合、「生存」と「デッド」に分類されます。生存とは、脆弱性が公開されていないことを意味します。一方、デッドとは、脆弱性が公開されているものの、修正プログラムが適用されていないことを意味します。ソフトウェアのメンテナーが積極的に脆弱性を探している場合、それは「生存」脆弱性です。一方、メンテナンスされていないソフトウェアに存在するこのような脆弱性は「不滅」脆弱性と呼ばれます。ゾンビ脆弱性は、古いバージョンのソフトウェアでは悪用される可能性がありますが、新しいバージョンでは修正プログラムが適用されています。[22]
公に知られているゾンビ脆弱性であっても、長期間にわたって悪用される可能性があります。[23] [24]セキュリティパッチの開発には数か月かかる場合があり、[25]あるいは開発されないこともあります。[24]パッチはソフトウェアの機能に悪影響を及ぼす可能性があり、 [ 24] ユーザーは機能と互換性を確認するためにパッチをテストする必要がある場合があります。 [26]大規模な組織ではすべての依存関係を特定してパッチを適用できない可能性があり、小規模な企業や個人ユーザーはパッチをインストールしない可能性があります。[24]
研究によると、脆弱性が公開されたり、パッチがリリースされたりすると、サイバー攻撃のリスクが高まることが示唆されています。[27]サイバー犯罪者は、パッチをリバースエンジニアリングして根本的な脆弱性を見つけ出し、エクスプロイトを開発することができます。 [28]多くの場合、ユーザーがパッチをインストールするよりも早く開発されます。[27]
ランド研究所が2017年に発表した調査によると、ゼロデイ脆弱性攻撃は平均6.9年間使用可能であるのに対し[29]、第三者から購入した脆弱性は平均1.4年間しか使用可能ではない。[20]研究者らは、特定のプラットフォームやソフトウェア(オープンソースソフトウェアなど)がゼロデイ脆弱性の寿命と関係があるかどうかを判断できなかった。[30]ランド研究所の研究者らは、秘密に保管されているゼロデイ脆弱性の5.7%が1年以内に誰かに発見されることを発見したが[31] 、別の調査では重複率がさらに高く、年間10.8%から21.9%にも上ることが明らかになった。[32]
定義上、ゼロデイエクスプロイトをブロックできるパッチは存在しないため、脆弱性のあるソフトウェアまたはハードウェアを使用しているすべてのシステムが危険にさらされています。これには、すべてのパッチが最新の状態に保たれている銀行や政府機関などの安全なシステムも含まれます。[33]セキュリティシステムは既知の脆弱性を考慮して設計されており、ゼロデイエクスプロイトの繰り返しによる悪用は、長期間にわたって検出されない可能性があります。[24]ゼロデイエクスプロイトを効果的に検出するシステムについては多くの提案がなされていますが、2023年現在もなお、この分野は活発に研究されています。[34]
多くの組織は多層防御戦術を採用しており、攻撃には複数のレベルのセキュリティを突破する必要がある可能性が高く、達成が困難になっています。[35]トレーニングや多要素認証、最小権限アクセス、エアギャップなどのアクセス制御などの従来のサイバーセキュリティ対策により、ゼロデイ攻撃によるシステムの侵害は困難になっています。[36]完全に安全なソフトウェアを作成することは不可能であるため、一部の研究者は、攻撃のコストを高めることがサイバー攻撃の負担を軽減するための良い戦略であると主張しています。[37]
ゼロデイ脆弱性攻撃は数百万ドルの値がつくことがある。[11]購入者には主に3つのタイプがある。[38]
2015年には、政府と犯罪の市場規模はホワイトマーケットの少なくとも10倍と推定されています。[38]売り手は、広く使用されているソフトウェアの脆弱性を金銭的報酬のために探すハッカーグループであることが多いです。[46]特定の買い手にのみ販売するグループもあれば、誰にでも販売するグループもあります。[45]ホワイトマーケットの売り手は、認知や知的挑戦といった金銭以外の報酬を動機としている可能性が高いです。[47]ゼロデイエクスプロイトの販売は合法です。[41] [48]規制強化を求める声があるにもかかわらず、法学教授のメイリン・フィドラー氏は、ロシアやイスラエルなどの主要プレーヤーが関心を持っていないため、国際合意の可能性は低いと述べています。[48]
ゼロデイ脆弱性を売買する売り手と買い手は秘密主義である傾向があり、秘密保持契約や機密情報法に頼ってエクスプロイトを秘密にしている。脆弱性が明らかになればパッチが当てられ、その結果価値が暴落する可能性がある。[49]市場には透明性が欠けているため、当事者が公正な価格を見つけることは難しい場合がある。脆弱性が検証される前に公開された場合、または買い手が購入を断ったものの結局使用した場合、売り手は支払いを受けられない可能性がある。仲介業者が急増しているため、売り手はエクスプロイトがどのような用途に使われるかを知ることができない。[50]買い手は、エクスプロイトが他の当事者に販売されていないことを保証できない。[51]買い手と売り手の両方がダークウェブで広告を出す。[52]

2022年に発表された、あるエクスプロイトブローカーが提示した最高価格に基づく調査によると、エクスプロイトの価格インフレ率は年率44%に達していることが明らかになりました。リモートゼロクリックエクスプロイトが最も高値で取引される一方、デバイスへのローカルアクセスを必要とするエクスプロイトははるかに安価です。[53]広く使用されているソフトウェアの脆弱性も、より高額です。[54]この調査では、約400人から1,500人がそのブローカーにエクスプロイトを販売し、年間約5,500ドルから20,800ドルを稼いでいると推定されています。[55]
2017年現在[アップデート]、米国は、認識している脆弱性を公開してパッチを適用できるようにするか、それとも自国での使用のために秘密にしておくべきかについて議論が続いています。[56]各国が脆弱性を秘密にしておく理由としては、それを攻撃的に利用したい場合や、侵入テストで防御的に利用したい場合などが挙げられます。[17]脆弱性を公開することで、消費者やソフトウェアのすべてのユーザーがマルウェアやデータ侵害の被害に遭うリスクが軽減されます。[8]
ゼロデイ脆弱性の開示の段階と一般的なタイムラインは次のとおりです。
ゼロデイエクスプロイトは、Apple、Google、Facebook、Microsoftなどのサービスがサーバーとメッセージを暗号化した後、重要性を増しました。つまり、ユーザーのデータにアクセスする最も実行可能な方法は、暗号化される前にソースで傍受することだということです。[33]ゼロデイエクスプロイトの最もよく知られた使用法の1つは、 2010年にイランの核計画に損害を与えるために4つのゼロデイ脆弱性を悪用したStuxnetワームです。 [14]このワームは、ゼロデイエクスプロイトで何が達成できるかを示し、市場の拡大を促しました。[43]
大手IT企業がソフトウェアへのバックドア設置を拒否したことを受け、米国国家安全保障局(NSA)はゼロデイ脆弱性の探索を強化し、テイラード・アクセス・オペレーションズ(TAO)にゼロデイ脆弱性の発見と購入を委託した。[57] 2007年、元NSA職員のチャーリー・ミラーは、米国政府がゼロデイ脆弱性を購入していることを初めて公表した。 [58] NSAのゼロデイへの関与に関する情報の一部は、2013年にNSAの契約社員エドワード・スノーデンが漏洩した文書で明らかになったが、詳細は不明だった。 [57]記者のニコール・パールロスは、「スノーデンが契約社員としてアクセスしたとしても、必要な情報を得るには政府のシステムに十分深く入り込めなかったか、ゼロデイ脆弱性の入手方法の一部が極秘または物議を醸すものであったため、NSAはそれを文書化することを敢えてしなかった」と結論付けた。[59]
2013年以降に発見された最も悪名高い脆弱性の一つであるHeartbleed(CVE-2014-0160)は、公表当時はゼロデイ脆弱性ではありませんでしたが、ソフトウェアのバグが世界的なサイバーセキュリティに及ぼす重大な影響を浮き彫りにしました。OpenSSL暗号化ライブラリのこの欠陥は、発見される前からゼロデイ脆弱性として悪用され、攻撃者によって秘密鍵やパスワードなどの機密情報が盗まれる可能性がありました。[60]
2016年、The Shadow Brokersとして知られるハッカー集団は、NSAから盗み出したとされる高度なゼロデイ脆弱性を大量に公開しました。これらの脆弱性には、 Microsoft Windowsのサーバーメッセージブロック(SMB)プロトコルの脆弱性を悪用するEternalBlueなどのツールが含まれていました。EternalBlueは後に、 WannaCryやNotPetyaといった注目を集めた攻撃に利用され、世界規模で甚大な被害をもたらし、脆弱性を蓄積することのリスクを浮き彫りにしました。[61]
2020年は、これまでで最も高度なサイバースパイ活動の一つが行われた年でした。攻撃者はゼロデイ脆弱性を含む複数の脆弱性を悪用し、SolarWindsのOrionソフトウェアを侵害しました。これにより、多数の政府機関や企業のネットワークへのアクセスが可能になりました。[62]
2021年、中国政府系ハフニウムは、 Microsoft Exchange Serverのゼロデイ脆弱性を悪用してサイバースパイ活動を行いました。ProxyLogonとして知られるこれらの脆弱性により、攻撃者は認証を回避し、任意のコードを実行することができ、世界中の数千のシステムに侵入しました。[63]
2022年、イスラエルのNSOグループが開発したスパイウェア「ペガサス」が、 iMessageやWhatsAppなどのメッセージングサービスのゼロクリック脆弱性を悪用することが判明しました。これらの脆弱性により、攻撃者はユーザーの操作を必要とせずに標的のデバイスにアクセスすることができ、監視とプライバシーに関する懸念が高まりました。[64]
ゼロデイ脆弱性とは、ベンダーが認識していないソフトウェアのバグを指します。このセキュリティホールは、ベンダーが気づいて修正を急ぐ前にクラッカーによって悪用される可能性があります。このような脆弱性はゼロデイ攻撃と呼ばれます。
ゼロデイ脆弱性:サプライヤーが把握していないゼロデイ脆弱性を検出し、軽減することは困難です。攻撃者は、セキュリティ修正プログラムがリリースされる前にこれらの脆弱性を悪用する可能性があります。