対応時間ゼロ 勝手に暴露されちゃった「zero-day」：IT基礎英語

[鈴木聖子，ITmedia]

　Androidにゼロデイの脆弱性が発覚した。そうした問題の発見を専門とする、その名も「Zero Day Initiative（ZDI）」が情報を公開したもので、この問題を解決するGoogleの公式パッチは現時点で存在しない。

　コンピュータセキュリティ用語の「ゼロデイ（zero-day、0Day）」は、ソフトウェアの脆弱性が解決されないまま情報が公になってしまった状態を指す。開発者が不意を突かれて対応する時間がないという意味で、そう呼ばれるようになった。

“zero-day” refers to the fact that the developers have “zero days” to fix the problem that has just been exposed - and perhaps already exploited by hackers.（Symantec）

「ゼロデイ」とは、暴露されたばかりの問題、そして恐らくはハッカー集団によって既に悪用されている問題について、開発者が修正する時間が「ゼロ日」しかない現実を指す。

　例えばMicrosoftのWindowsに脆弱性があったとする。Microsoftよりも前に外部の人間が発見して暴露または悪用してしまい、それを解決するWindowsの更新プログラムが存在していない脆弱性が「zero-day vulnerability」（ゼロデイの脆弱性）。未解決状態にあるその脆弱性を悪用する行為は「zero-day exploit（ゼロデイの悪用）」、その問題を突くウイルスや不正侵入といった攻撃は「zero-day attack（ゼロデイ攻撃）」と呼ばれる。

　こうした攻撃を仕掛ける人たちやセキュリティ研究者などは、日々、脆弱性の発見にしのぎを削っている。その人たちに悪意がなければ、例えばWindowsの脆弱性を見つけたら公にはしないままMicrosoftに連絡して対策に協力するので、ゼロデイの事態は免れる。

　一方、いきなり発覚するゼロデイの脆弱性は、Microsoftが気付いた時点で既に攻撃が発生していたりする。この「ゼロ」の日から日数がたつほど被害は拡大しかねないので、Microsoftは大急ぎで対策パッチを開発するする必要に迫られる。

　過去に大きな被害を出したStuxnetやWannaCryなどの攻撃には、いずれもこうしたゼロデイの脆弱性が絡んでいた。

　Windowsに限らず、どんなソフトウェアもゼロデイと無縁ではいられない、そこで大手各社は脆弱性の発見者に多額の懸賞金を出して情報提供を募っている。脆弱性を見つけたらこっそり教えてくださいね、悪用するよりも懸賞金を稼いだ方が実入りがいいですよ、というわけだ。

　ちなみにZDIが今回明らかにしたAndroidのゼロデイの脆弱性は、事前にGoogleには知らせていたものの、ZDIが独自に定めた期限までに対策パッチが公開されなかったので、情報公開に踏み切ったという。

ZDIの情報公開ポリシー

　ゼロデイをめぐっては、時々そうした見解の食い違いが表面化する。Googleの研究者も自分たちで決めた期限に従って他社の脆弱性情報を公開することがあって、「ユーザーが危険にさらされるじゃないか」「さっさと対策しないそっちが悪い」みたいないさかいが起きたこともあった。