ゼロデイ攻撃とは?中小企業が狙われやすい理由と備えるべき対策

2025年05月13日

ゼロデイ攻撃とは?中小企業が狙われやすい理由と備えるべき対策

「ゼロデイ攻撃(ゼロデイアタック)」は、ソフトウェアやOSの脆弱性が修正される前に、その“弱点”を突いて行われるサイバー攻撃です。

大企業だけでなく、中小企業の使用する業務ソフトやOSも対象になるため、「気づかないうちに攻撃を受けていた」というケースも多く、実際の被害も急増しています。

本記事では、ゼロデイ攻撃の仕組みや代表的な被害事例、中小企業が取り組むべき対策、そして法律上の責任について、法律事務所の視点でわかりやすく解説します。

この記事を監修したのは

代表弁護士 春田 藤麿
代表弁護士春田 藤麿
第一東京弁護士会 所属
経歴
慶應義塾大学法学部卒業
慶應義塾大学法科大学院卒業
都内総合法律事務所勤務
春田法律事務所開設

詳しくはこちら

ゼロデイ攻撃とは?脆弱性を突いた“初日”の攻撃

「ゼロデイ」とは、“脆弱性が見つかってから修正パッチが提供されるまでの期間”を指します。攻撃者はこの隙をついて、誰も対策できていないタイミングで攻撃を仕掛けます。

一般的なマルウェアと異なり、「どのソフトが狙われるか分からない」「従業員が何もしていないのに感染する」など、防ぎにくい特徴があります。

脆弱性が報告・修正される“前”の段階なので、セキュリティソフトでも検知されにくいのが特徴です。

ゼロデイ攻撃は、特定の組織を狙い、執拗な攻撃を行ういわゆる標的型攻撃と組み合わせて使用されることも多くなっています。

そのため、攻撃されないための入り口対策だけでなく、その後の被害を広げないための出口対策が重要になります。

実際に使われたゼロデイ攻撃の事例

  • 有名な文書ソフトを提供するA社の例
    感染したワード文書に脆弱性を悪用するコードが埋め込まれており、特定の医療機関を標的とした標的型攻撃と組み合わせて使用されました。
    参照:株式会社FFRIセキュリティ
  •  メールサービスを提供する大手I社の例
    同社が過去に採用していたソフトウェアに存在した未知の脆弱性が悪用されました。これにより、約31万件の電子メールアカウントとパスワードが漏洩しました。
    参照:日本経済新聞
  • 家電メーカーM社の例
    同社が利用していたウイルス対策システムに存在した、修正プログラム公開前の脆弱性 を悪用した攻撃が行われました。その結果、同社の従業員や元従業員だけでなく、同社に応募した求職者など外部の個人情報を含む約4000名分の個人情報が流出しました。
    参照:Yahoo!ニュース

ゼロデイ攻撃は、いずれも「ソフトの利用者に落ち度がない」ように見えます。しかし、「アップデートが遅れていた」「ネットワーク隔離ができていなかった」など、企業の管理体制が問われるケースもあります。

中小企業がゼロデイ攻撃で問われる可能性のある法的責任

以下のような法律や民事責任が関わってくる可能性があります。

個人情報保護法:安全管理措置義務違反(アップデート遅れ等)

1件でも個人情報を取り扱っている場合、事業者は個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる義務があります。ゼロデイ攻撃に対する対策が不十分であったと判断された場合、この義務違反を問われる可能性があります。

事業者がこの義務に違反した場合、個人情報保護委員会による勧告や必要措置をとるべき旨を命令され、命令に従わない場合にはその旨が公表されるといった制裁もあります。

また、個人情報保護法は、事業者自体だけでなく、個人データの取り扱いを委託している場合には委託先に対して必要かつ適切な監督を行うことも求めています。

不法行為責任・債務不履行責任

個人情報等の漏洩により顧客や取引先に被害が生じた場合には、民法上の不法行為責任又は債務不履行責任に基づく損害賠償義務を負うことになります。

大量の個人情報が流出してしまった場合には、個々の賠償額は少額でも、合計額は極めて多額に及ぶ可能性があります。

ある自治体において22万人分の住民基本台帳データが流出したケースでは、1人当たり1万円の慰謝料と5000円の弁護士費用が認められたこともあります。

不正アクセス禁止法(間接的関与):攻撃の踏み台になった場合など

「知らなかった」では済まず、「できる範囲で対策していたか」が問われます。アップデート・監視体制の整備が重要です。

また、攻撃が発覚した後の出口対策も重要となります。

関連法令においては、個人情報保護委員会等の各所に対する報告義務なども定められておりますが、このような事後対応を怠ることで、さらなる法的責任を問われる可能性があります。

中小企業が取るべき対策と法律事務所による支援内容

中小企業でできる具体的対策

ゼロデイ攻撃は、まだ対策が公開されていない脆弱性を悪用するため、完全に防ぐことは非常に困難です。そこで、被害を最小限に抑えるための対策が重要です。

  • OSやソフトのアップデートを「自動更新」に設定
    OS、Webブラウザ、オフィスソフトなど、利用している全てのソフトウェアを常に最新の状態に保つことが最も重要です。まずは自動アップデート機能を有効にしましょう。
  • 多層防御の徹底
    ファイアウォール、Webフィルタリングなどを組み合わせ、複数の防御壁を構築することで、単一の防御策が破られた場合でも被害の拡大を防ぐ対策を行いましょう。
  • 利用ソフトの脆弱性情報の収集と対応
    ソフトウェアベンダーやセキュリティ機関が公開する脆弱性情報を定期的に確認し、自社が利用しているソフトウェアに影響がないかを確認します。    影響がある場合は、速やかにアップデートや回避策を適用します。
  • バックアップ体制の構築と検証
    重要なデータは定期的にバックアップを取得し、万が一の事態に備えます。バックアップからの復旧手順も定期的に検証します。

法律事務所ができる支援内容

【インシデント発生前の事前対策として】

  • 法的リスク評価と対策
    関連法規(個人情報保護法、不正アクセス禁止法等)に基づき、現状のセキュリティ対策の法的側面からのリスクを評価し、必要な対策を具体的にアドバイスします。
  • プライバシーポリシー・セキュリティポリシーの策定・見直し
    法令に適合した、かつ実効性のあるプライバシーポリシーやセキュリティポリシーの策定・見直しを支援し、組織内での適切な運用体制構築をサポートします。
  • 契約書の整備
    顧客や取引先との間で締結する契約書において、セキュリティに関する責任範囲、情報漏洩時の対応、損害賠償などを明確化する条項の作成・レビューを支援します。
  • 従業員教育・研修
    情報セキュリティに関する基本的な法的知識、リスク意識の向上、適切な情報管理に関する研修プログラムを提供し、組織全体のセキュリティ意識を高めます

【インシデント発生後の対策として】

  • 初動対応に関する法的助言
    インシデントの状況を把握し、初期段階で取るべき法的措置(証拠保全、関係機関への連絡、被害拡大防止策など)について迅速かつ適切なアドバイスを提供します。
  • 関係機関への報告・対応
    個人情報保護委員会、警察、監督官庁など、関係機関への報告義務に関するアドバイスや報告書作成の支援を行います。
  • 被害者対応
    情報漏洩等の被害者への適切な通知方法、説明責任の履行、損害賠償請求への対応などについて法的助言を行い、必要に応じて交渉を代行します。
  • 訴訟・紛争対応
    損害賠償請求訴訟や攻撃者に対する法的措置(損害賠償請求、刑事告訴など)について、訴訟代理人として対応します。

まとめ:気づかない間に“加害者”になるリスクも

ゼロデイ攻撃は、「まだ誰も知らない・防げない脆弱性」を狙う非常に巧妙な攻撃です。特に中小企業は、セキュリティ担当が不在であることも多く、「アップデートを怠っていた」こと自体が法的リスクになりかねません。

“対策していなかった”ではなく、“できる範囲の備えをしていた”ことを示す体制が重要です。困ったときにすぐ相談できる法律事務所を持っておくことも、今後の大きなリスク対策となります。

よくあるご質問(FAQ)

Q:ゼロデイ攻撃を受けたかもしれません。企業として何をすべきですか?

迅速かつ適切な初動対応が、被害の拡大防止と、早期復旧につながります。

  1. 異状の検知と報告
    管理責任者へ直ちに報告のうえ、インシデント対応チーム(事前に定めていれば)を招集し、連絡体制を確立します。必要に応じて、外部の専門家(セキュリティベンダー、ITサポート業者など)への連絡を開始します。
  2. 調査と証拠保全
    攻撃の侵入経路、感染範囲、被害状況(データ漏洩、改ざん、システム停止など)を詳細に調査・特定します。
    また、ログデータ、アラート情報、画面キャプチャなど、可能な範囲で攻撃の痕跡や関連情報を保全します。
  3. 封じ込め
    感染が疑われる端末やネットワークの隔離(LANケーブルの切断、Wi-Fiの遮断など)、PCのシャットダウンなどにより攻撃の封じ込めを図ります。
  4. 関係機関への報告検討
    被害状況に応じて、警察、情報処理推進機構(IPA)、個人情報保護委員会(個人情報漏洩の場合)など、関係機関への報告義務の有無を確認し、速やかに報告します。報告の遅延は法的責任を問われる可能性があります。
  5. 広報対応の検討
    顧客、取引先、株主、報道機関などへの情報開示の必要性を検討します。

Q:ゼロデイ攻撃によって顧客情報が流出した場合、企業は法的責任を負うのでしょうか?

企業が個人情報保護法により求められる安全管理措置を怠っていた場合、個人情報保護委員会による勧告や必要措置をとるべき旨を命令され、命令に従わない場合にはその旨が公表されるといった制裁も受けることになります。

また、顧客や取引先との関係において、情報漏洩に対する民法上の不法行為責任を問われる可能性もあります。

ゼロデイ攻撃は、一般的に対策が困難な攻撃とされますが、だからといって企業が責任を免れるわけではありません。しかし、合理的なセキュリティ対策を実施していた場合には責任が軽減される場合もあります。

また、適切な管理規定や攻撃発生後のフローを整備しておくことで、そもそもの被害を最小限に抑えられますので、やはり事前事後の対策が重要といえるでしょう。

Q:専門担当がいない中小企業でもできる現実的なゼロデイ対策は?

OSやソフトウェアの自動アップデートを有効化し、常に最新の状態を保つことがなによりも重要です。

次に、信頼できないメールの添付ファイルやURLは絶対に開かないよう従業員に周知徹底します。ゼロデイ攻撃と組み合わされる標的型攻撃の多くはメールを起点とします。

また、市販のセキュリティソフトを導入し、常に最新の定義ファイルに更新します。挙動監視機能を持つ製品を選ぶと、未知のマルウェアの活動を検知できる可能性があります。

さらに、重要なデータは定期的にバックアップを取り、万が一被害に遭っても事業継続が可能な体制を構築します。

Q:法律事務所にはどういう場面で相談すればいいですか?

いまだゼロデイ攻撃を受けていない場面であっても、自社のセキュリティ対策に不安を覚えている場合や、個人情報保護法や関連法規に準拠した対策を講じたい場合、もしくは取引先との契約においてセキュリティの観点からの対策を講じたい場合には、ぜひ法律事務所へご相談ください。

専門家が法律及びセキュリティの双方の観点から、セキュリティ関連規程の策定や見直しだけでなく、個別の取引契約書の確認などをさせていただきます。

また、実際にゼロデイ攻撃を受けた場合には、速やかに法律事務所までご相談ください。初動対応に関する指導や、各所への報告だけでなく、顧客や取引先の対応をさせていただきます。

法律事務所へセキュリティ対策をご相談いただく際には顧問契約は必須ではありません。スポットでのご相談も可能ですので、不安を感じておられる場合にはお気軽にご相談ください。

あわせて読みたい関連記事

情報セキュリティのコラムをもっと読む

※内容によってはご相談をお受けできない場合がありますので、ご了承ください。