あるプログラムで見つかった重大なセキュリティ上の欠陥(脆弱性)を悪用して、まだ修正プログラムが提供される前に攻撃を加えることを「ゼロデイ攻撃」と呼ぶことがあります。
通常、脆弱性が見つかったからといって、すぐに修正プログラムはできません。
修正の時間が 1日もない=「ゼロ日」ような状態のことを「ゼロデイ(zero-day)」と呼び、そんな発見から修正されるまでの「時間差」を狙った攻撃が「セロデイ攻撃」なのです。
脆弱性が公式に発表される前に、すでに悪用されているときも「ゼロデイ攻撃」と呼ぶ場合があります。
2014年4月に Internet Explorer の重大な脆弱性が報告されたのに、対応する修正プログラムがしばらく提供されないことで大きな話題になりました。
「IE の脆弱性によりリモートでコードが実行される」とは - セキュリティにひとこと(2014年04月30日)
これがまさに「ゼロデイ攻撃」の危険性が世界的に注目された事例であり、これからも IE に限らず、さまざまな OS やアプリ、さらにはパソコンだけでなくスマホでも同様な問題は発生し続けます。
もし「ゼロデイ攻撃」の恐れがあると発表があったら、修正プログラムが提供されるまでは問題のプログラムの利用を控え、提供されたら迅速に適用するといった対応が大切です。
記事の情報は公開時あるいは更新時のもので、最新情報はリンク先など情報元の公式ページでご確認ください。
