(1) 「脆弱性」とは？

　Windows や Mac OS などの OS やアプリケーションソフトの、セキュリティ上の弱点のことを脆弱性（vulnerability）と言います。脆弱性が解消されていない状態で、その脆弱性を悪用した攻撃を受けた場合、被害に遭うおそれがあります。脆弱性を悪用した攻撃への基本的な対策は、修正プログラムを適用し、脆弱性を解消することです。
　IPA が従来から推奨している基本的なセキュリティ対策は、脆弱性を解消することと、ウイルス対策ソフトを最新の状態で使用することです。これはどちらか一方ではなく、両方を実施していないと効果がありません。たとえウイルス対策ソフトを最新の状態で使用していたとしても、脆弱性を解消していなければ、思いもよらない方法で外部からの侵入を許すことになる、ということです（図1-1参照）。

図1-1：脆弱性を解消していないパソコンを家に例えた場合のイメージ図

(2) 「ゼロデイ攻撃」とは？

　「ゼロデイ攻撃」とは、あるソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します（図1-2参照）。

図1-2：「ゼロデイ攻撃」

　以下に、具体的な事例として、2009年7月に確認された「Microsoft Video ActiveX コントロールの脆弱性」（MS09-032）を例に「ゼロデイ攻撃」を説明します。

＜時系列＞
[発生日不明]
　今回の脆弱性を悪用した攻撃が発生した（図1-3の�@）。
[2009年7月6日（米国時間）]
　今回の脆弱性を悪用した攻撃の発生が確認され、マイクロソフト社より「Microsoft Video ActiveX コントロールの脆弱性」（MS09-032）に関する脆弱性情報が公開された。この時点で修正プログラムは提供されなかったが、暫定措置として攻撃の回避策が提示された（図1-3の�A）。
[2009年7月14日（米国時間）]
　マイクロソフト社より、MS09-032に関する脆弱性情報の更新と、修正プログラムが提供された（図1-3の�B）。

図1-3：脆弱性MS09-032への対応状況<時系列推移>

　今回の事例は、実際に脆弱性情報が公開される前に攻撃が発生していました（図1-3の�@）。パソコン利用者は2009年7月6日の脆弱性情報の公開時（図1-3の�A）に提示された回避策を知ってすぐに実施し、その後の2009年7月14日の脆弱性情報の更新時（図1-3の�B）に提供された修正プログラムをすぐに適用していれば、攻撃を防御できました。
　しかし、脆弱性情報が公開されたことを知らなかったために、脆弱性対策を実施出来なかったパソコン利用者は、攻撃を受けていた可能性があります。
　次項で説明する注意点を参考に「ゼロデイ攻撃」への対策を実施してください。

（ご参考）
「Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される」（マイクロソフト社）
　http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

「マイクロソフト セキュリティ情報 MS09-032 - 緊急」（マイクロソフト社）
　http://www.microsoft.com/japan/technet/security/bulletin/MS09-032.mspx

「Microsoft Video ActiveX コントロール の脆弱性（MS09-032）について」（IPA）
　http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html

「情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む」（IPA）
　http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf
　　　　巧妙化する標的型攻撃　(4頁)
　　　　誘導型攻撃の顕在化　　(18頁)

（3）「ゼロデイ攻撃」を受けないための注意点
　「ゼロデイ攻撃」を受けないためには、ベンダーから公開される脆弱性情報を十分理解し、適切に対応することが重要です。IPA などが発信する「緊急対策情報」や JVN などの脆弱性情報ポータルサイトも参考にしてください。（2）の事例のように、脆弱性情報の公開時には修正プログラムが提供されていない場合でも、一時的な回避策が提示されていることがあります。ただし、実施することで特定のサービスが利用できなくなるなどの影響が出る場合がありますので、実施する際は十分注意が必要です。万が一具体的な回避策が提示されない場合は、当該ソフトウェアを一時的に使用しないなどの対応が有効です。その後、正式な修正プログラムが提供された際には、直ちに適用することも忘れないでください。
　以上のように、脆弱性に適切に対応するためには、日頃から脆弱性情報を収集することが重要です。また、併せてウイルス対策ソフトを最新の状態で使用し、攻撃を防御することも重要です。
　以下に有効な情報収集の方法を示します。

（i）メールマガジンを利用した情報収集

　パソコン利用者が使用している OS やアプリケーションソフト・セキュリティ対策ソフトのベンダー、パソコンメーカーなどがメールマガジンのサービスを提供している場合、それを利用することで、負担なく脆弱性に関する情報を得ることができます。マイクロソフト社の場合は、以下の URL からメールマガジンの購読申し込みが行えます。
　また、IPA では、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてウェブサイトから発信するとともに、メールマガジンでその情報を配信しています。

（ご参考）

「セキュリティ ニュースレター」（マイクロソフト社）

　http://technet.microsoft.com/ja-jp/security/cc307424.aspx

「情報処理推進機構　新着情報メール配信」（IPA）

　http://www.ipa.go.jp/about/mail/

（ii）ウェブサイトからの情報収集

　パソコン利用者が使用している OS やアプリケーションソフト・セキュリティ対策ソフトのベンダー、パソコンメーカーなどのウェブサイトで、脆弱性に関する情報が得られる場合がありますので、定期的に参照することをお勧めします。マイクロソフト社の場合は、以下の URL が参考になります。
　また IPA では、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてウェブサイトから発信しています。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している JVN などの脆弱性情報ポータルサイトも参考になります。

（ご参考）

「セキュリティ TechCenter」ITプロフェッショナル向け（マイクロソフト社）

　http://technet.microsoft.com/ja-jp/security/default.aspx

「セキュリティ At Home」一般家庭向け（マイクロソフト社）

　http://www.microsoft.com/japan/protect/default.mspx

「緊急対策情報・注意喚起 一覧」（IPA）

　http://www.ipa.go.jp/security/announce/alert.html

「JVN（Japan Vulnerability Notes）」（脆弱性情報ポータルサイト）

　http://jvn.jp/

（iii）補足・解説記事

　その他の方法として、ニュースサイト（特に IT 系）やポータルサイトに掲載される記事を参考にすることが挙げられます。脆弱性に関する情報が掲載されることがありますので、そこから有益な情報が得られる場合もあります。

(4) 「ゼロデイ攻撃」を受けてしまったことに気がついたときは

パソコンの動作が異常になり、調査の結果、特定のメールの添付ファイルを開いたり、特定のウェブサイトを参照したりすることがきっかけと判明し、パソコンのOSやアプリケーションが最新版であった場合は、ゼロデイ攻撃の可能性があります。
その場合、当該OSやアプリケーションのベンダーに連絡したり、利用しているセキュリティ対策ソフトのベンダーに相談することをお勧めします。

なお、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC)では、コンピュータセキュリティインシデントに関し、国内外の関係機関と連携して、 たとえば、攻撃元や攻撃により窃取した情報が送信される先として利用される海 外のコンピュータリソースの管理者等に対して活動停止を求める調整を行ってい ます。仮に、ゼロデイ攻撃を受けてしまったことに気がついた場合には、被害の 拡大防止のため、JPCERT/CCへの情報提供をご検討ください。

JPCERT/CCへのインシデント報告

　https://www.jpcert.or.jp/form/