情報セキュリティ(42)　サイバー攻撃の手口⑭　ゼロデイ攻撃

ゼロデイとは、脆弱性がありながら、修正プログラムが存在しない期間のことです。ゼロデイ攻撃とは、その期間を狙った攻撃です。

通常は、OSやソフトウェアで脆弱性がベンダから発表される場合は、その改修プログラム（いわゆるパッチとか、アップデートなどと言います）と共に発表されます。しかし第三者から脆弱性を指摘された場合や、ベンダが発表してもユーザが修正プログラムを更新しない場合は、ゼロデイ攻撃が成功してしまうことになります。

修正プログラムが発表されれば、攻撃しても無駄だから、攻撃者は攻撃しないかと言うと、修正プログラムを更新しないユーザがいることを攻撃者は知っていて、あえてゼロデイ攻撃をしてきたりします。

iPhoneやWindowsなどでも、修正プログラムはかなり頻繁に発行されますが、これらをまめに更新しておくことは、サイバーセキュリティ対策上、とても重要なのです。