平成30年度 春期 ITパスポート試験 公開問題 問87 解説 ゼロデイ攻撃

ゼロデイ攻撃という言葉は、英語のゼロ・デイ（0-day）から来ています。この言葉を見たら、修正パッチが提供される前の「対策ゼロの日」を指していると考え、選択肢の中から「修正プログラムが提供される前」という記述を探すのが最短の解き方です。

ゼロデイ攻撃の仕組み

ソフトウェアには、プログラムの設計ミスなどが原因でセキュリティ上の欠陥（脆弱性）が含まれていることがあります。開発者はこの脆弱性を発見すると、修正するためのパッチ（修正プログラム）を公開し、ユーザーに適用を促します。

しかし、攻撃者は開発者が脆弱性を公表するよりも早くその欠陥を見つけ出し、パッチが配布される前の無防備な状態のシステムを攻撃します。開発者が対策をとるための猶予期間（リードタイム）がないため、組織側は防衛する術がほとんどないという点で、非常に危険度の高い攻撃手法とされています。

用語と対比で覚える

この問題に関連して、ほかの用語との違いも整理しておきましょう。

ソーシャルエンジニアリング：技術的な欠陥ではなく、人間の心理的な隙や行動のミス（肩越しにパスワードを覗き見る、電話でパスワードを聞き出すなど）を突いて情報を盗む手法です。今回の選択肢の「話術や盗み聞き」の説明がこれに該当します。

標的型攻撃：特定の組織や個人をターゲットにして、機密情報を盗み出す目的で執拗に行われる攻撃です。

マルウェア：ウイルスやワーム、スパイウェアなどの悪意のあるソフトウェアの総称です。

試験では、攻撃手法の名前と、その攻撃が「システム的な欠陥を突くもの」なのか、「人間を騙すもの」なのかを区別する問題がよく出題されます。ゼロデイ攻撃は「プログラムの欠陥を突くもの」、ソーシャルエンジニアリングは「人間の隙を突くもの」と分けて覚えておくと、迷わず回答できるようになります。

IPA 独立行政法人 情報処理推進機構 情報セキュリティの脅威 総務省 国民のための情報セキュリティサイト ゼロデイ攻撃 JPCERT/CC ゼロデイ脆弱性とは