2022年3月10日、IPA （情報処理推進機構）より「情報セキュリティ10大脅威2022」および関連資料が公開されました。順位は、2021年に発生した情報セキュリティにおける事案から IPA が脅威候補を選出し、研究者や企業の実務担当者などの審議・投票で決定したものです。今回はその中で、今年新たにランクインした「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」について一部抜粋してご紹介します。

情報セキュリティ10 大脅威 2022 「組織」向けの脅威の順位

7位 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

攻撃手口

ソフトウェアの脆弱性を悪用

開発ベンダー等が修正プログラムを公開する前に、攻撃者がソフトウェアの脆弱性を悪用して攻撃する。脆弱性の内容により、攻撃方法は様々であり、その被害も情報漏えいや改ざん、ウイルス感染等、様々である。

情報セキュリティ対策の基本

攻撃の糸口	情報セキュリティ対策の基本	目的
ソフトウェアの脆弱性	ソフトウェアの更新	脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染	セキュリティソフトの利用	攻撃をブロックする
パスワード窃取	パスワードの管理・認証の強化	パスワード窃取によるリスクを低減する
設定不備	設定の見直し	誤った設定を攻撃に利用されないようにする
誘導(罠にはめる)	脅威・手口を知る	手口から重要視するべき対策を理解する

対策/対応

被害の予防

• 「情報セキュリティ対策の基本」を実施
• 資産の把握、対応体制の整備
• ネットワークの監視および攻撃通信の遮断
• EDR 等を用いたエンドポイントの監視、防御
• セキュリティのサポートが充実しているソフトウェアやバージョンを使用
• 利用するソフトウェアの脆弱性情報の収集と周知

攻撃の予兆／被害の早期検知

• UTM、IDS/IPS、WAF、仮想パッチ等の導入

修正プログラムリリース前の対応

• 回避策や緩和策の適用
• 当該ソフトウェアの一時的な使用停止

修正プログラムリリース後の対応

• 修正プログラムの適用

被害を受けた後の対応

• 組織の方針に従い各所へ報告、相談
• 影響調査および原因の追究、対策の強化