脆弱性はソフトウエアのセキュリティーに関わる欠陥や弱点のこと。そのうち修正プログラム(パッチ)などが提供されておらず、修正する手段がない脆弱性をゼロデイ脆弱性という。ゼロデイは、パッチが提供されてから0日が経過している、つまりパッチが提供されていない状態を指す。
パッチがないため、ユーザーは脆弱性を把握してもその脆弱性を修正できない(PICT1)。脆弱性を修正するまでの間は、システムに不正侵入されたり、ウイルスに感染したりするリスクが高まる。
攻撃方法が広まる場合も
ゼロデイが長引くと、ゼロデイ脆弱性の悪用方法を考える時間を攻撃者に与えることになる。特に近年は、悪用する方法が見つかれば攻撃者同士でその情報を共有したり、情報が売買されたりする。情報だけでなく、その方法を実行するプログラム(攻撃コード)も共有されたり、売買されたりすることがある。ゼロデイ脆弱性を悪用するサイバー攻撃を、特に「ゼロデイ攻撃」と呼ぶ。
情報の慎重な取り扱いが必要
ゼロデイ脆弱性の情報が広まると、ゼロデイ攻撃を受けるリスクが高まる。このため、脆弱性の報告を受け付ける情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)などのセキュリティー機関は、ゼロデイ脆弱性の報告を受けてもその情報をすぐには公表しない。経済産業省が出した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」にのっとって、ゼロデイ脆弱性の情報を取り扱う。
まず脆弱性のあるソフトウエアやそのソフトウエアを組み込んだハードウエアのベンダーなどに連絡を取り、パッチの提供を促す。パッチの提供が開始されると、ユーザーにパッチを適用するよう注意喚起を出す。
安全な状況になったと判断されれば、脆弱性の詳細な情報を公開する。このようにゼロデイ脆弱性の取り扱いは慎重に行われる。
パッチの開発に時間がかかるときや、ソフトウエアの開発が中止されてパッチが提供される見込みが低いときなどは、パッチの代わりに、脆弱性を悪用する攻撃の回避策が公開される場合がある。こういった場合、ユーザーは回避策を実施するか、そのソフトウエアの利用を中止するといった対策を採る。
ただし回避策はパッチが提供されるまでの一時しのぎにすぎない。パッチが提供される見込みが低い場合は回避策を実施して使い続けるのではなく、別のソフトウエアに切り替えるなどの抜本的な対策を施すべきだ。
