2025 年 3 月のある火曜日、Chrome はすでに実環境で悪用されていた CVE-2025-0762 に対する緊急アップデートを配信しました。ある金融 サービス会社は、その数時間前に何の変哲もないニュース記事に見える ページ経由で侵害されていたのです。不審なダウンロードも添付ファイルも ありません。ただページがレンダリングされた瞬間に、remote code execution が静かに走っただけ。アンチウイルスは何も検知しませんでした。 パッチが届いたときには、攻撃者はすでに暗号化された顧客データを 持ち去ったあとでした。
これがゼロデイの典型的な姿です。攻撃者がブラウザの欠陥を見つけてから ベンダーが修正を配信するまでの時間、インターネット上のすべての ユーザーが無防備なまま晒されます。パッチを当てるのは欠かせない習慣 ですが、それだけでは防御になりません。exploit は常にパッチより先に走るからです。
ゼロデイとは実際に何か
ドアノブのない裏口がある家を思い浮かべてください。持ち主は 気づいていません。その界隈を回る鍵屋も気づいていません。ノブが 外れていることに最初に気づいた侵入者は、夜ごと好きなだけ出入り できます。そして、誰かが偶然同じドアに行き当たるまで、誰も それに気づきません。ゼロデイとは、まさにこの裏口のことです。「ゼロ」 とは、ベンダーが修正に使える日数のことを指します。つまり、欠陥 は世に知られる前から悪用されているということです。
主要なブラウザはどれも抱えています。Chrome は 2024 年だけで 10 件のゼロデイにパッチを当て、Firefox は 4 件、Safari は 7 件でした。攻撃面が広がり続けているため、ペースは落ちるどころか 加速しています。新しい API(WebGL、WebAssembly、WebRTC、service workers)が増えるたびに、複雑さと新しいバグのクラスが積み上がり、 研究者と攻撃者の双方にとって突きどころが増えていきます。
ゼロデイが通常の脆弱性と違うのは、できることの幅の広さです。 ゼロデイを手にした攻撃者は、被害者側で常識的に検知できるような ツールやテレメトリを残さずに、誰でも、どこでも狙えます。 必要なのは、あなたを 1 つのページに誘導することだけ。そしてページは、いくらでも仕込め ます。
ゼロデイのライフサイクル
どのゼロデイも、見通しの立つ流れをたどります。各フェーズが、あなたの防御の効く場所と効かない場所を教えてくれます。
- 1
発見
研究者か攻撃者がバグを見つけます。倫理的な発見はベンダーに 報告されます。それ以外は伏せられたままです。実際に使われる 前に何か月もおとなしく眠ったままのゼロデイもあります。 - 2
武器化
exploit が組み上げられます。単一のバグで済むことはまずありません。 現代の多くの攻撃は、renderer のバグ、sandbox escape、kernel レベルの権限昇格を一本につなぎます。国家アクターは完成された チェーンをまとめて抱え込み、価値の高いターゲット用に取って おきます。 - 3
実環境での悪用
exploit は、悪意のある広告、侵害済みのサイト、spear-phishing リンクなどを介して配られます。配送経路に目立つ異常はなく、 アンチウイルスにも照合すべきシグネチャがないため、検知は 難航します。 - 4
パッチと情報開示
悪用が確認されると、ベンダーは大急ぎで修正を出します。 アドバイザリは全員に即時のアップデートを呼びかけます。 多くのユーザーは数日から数週間アップデートせず、企業は それ以上時間がかかることもしばしばです。 - 5
exploit kit での再利用
商用の exploit kit が修正済みの脆弱性を取り込み、パッチが 当たっていないロングテールのシステムを何か月にもわたって 狙います。攻撃者はチェーンを別のブラウザ向けに作り直したり、 新しいバグと組み合わせたりして、使える期間を引き延ばします。
ユーザーはフェーズ 2 とフェーズ 3 のあいだ、そしてフェーズ 4 の奥深くまで無防備な状態が続きます。自分がパッチを当てたあとでも、 ネットワーク上のほかのデバイスがまだ遅れていることもあります。 封じ込めはパッチが降りてくる前に効いていなくては意味がありません。 後手に回ってからでは遅いのです。
あなたが無防備になる時間
ブラウザを最新に保つのは、聞いた感じは簡単です。しかし実際の 現場では、企業は依存関係、compliance レビュー、決められた配信ウィンドウのあいだでやりくりを迫られます。 一般ユーザーは会議の合間にアップデートのプロンプトを閉じてしまいます。 結果として、攻撃者がはじめから織り込み済みの、見えやすい隙間が 並びます。
パッチ前(数時間から数週間)。 exploit は動いていて、修正は存在しません。インターネット上のあらゆる ブラウザが脆弱です。ベンダーは調査中、口を閉ざしがちで、その間、 攻撃者は晒されているユーザー基盤に対して好きに動けます。
パッチ済み・未適用(7〜30 日)。 IT チームは互換性テスト、ロールアウトの調整、再起動の段取りに 追われます。その裏で攻撃者はパッチをリバースエンジニアリング し、大量配布用の exploit kit を組み立てます。修正が公開された瞬間から、競争は一気に加速 します。
ロングテール(期限なし)。 共用キオスク、legacy システム、個人所有のマシンは、古いバージョンのまま何か月、 何年も残ります。攻撃者は見出しが消えてからもずっと、それらを 狙い続けます。
保留中のアップデート。 チームはバグや互換性の問題、四半期末の change freeze ウィンドウなどの理由でアップデートを止めることがあります。 その凍結期間そのものが標的になります。こうした隙間は運用が きちんとしている環境にも残るので、ここで isolation が効いてきます。信頼できないコードがそもそもローカルマシンに 届かないので、ユーザーはパッチの検証中も手を止めずに済むのです。
数字で見るゼロデイ
規模感を掴むために、いくつか数字を並べておきます。直近 2 年で業界から報告された実数値です。
2024 年に悪用されたブラウザと OS のゼロデイ件数
公開された脆弱性のうち 24 時間以内に悪用される割合
企業のパッチ配信までの平均遅延
「パッチが用意できた」段階と「パッチが配信済み」になる段階の あいだの隙間こそ、被害の大半が起きる場所です。Verizon Data Breach Investigations Report によれば、公開された脆弱性の 半分以上は、公開から 1 日以内に攻撃者に悪用されています。一方で、多くの企業がアップ デートを安全に展開しきるには丸 2 週間を要します。パッチ適用だけを頼みの綱にしているかぎり、 これはどう転んでも勝てないレースです。
流れを決めた近年の事件
ゼロデイをめったにない落雷のように扱いたくもなりますが、実態は 絶え間ない地鳴りのようなものです。最近の例をいくつか並べるだけで、 パターンが見えてきます。
Chrome CVE-2023-2033. V8 の type-confusion のバグで、悪意のある広告ネットワーク経由で悪用されました。 ペイロードはユーザーの操作なしで remote code execution にたどり着いていました。Google はパッチが用意できる数日前の時点で、すでに活発な悪用を 確認していたのです。
Firefox CVE-2024-29902. NGO を狙う 2 週間の spear-phishing キャンペーンに使われました。チェーンはブラウザの sandbox から脱出し、誰かがインシデントを通報するより前に Windows エンドポイントへ永続的な spyware を仕込んでいました。
Safari WebKit CVE-2024-43817. iMessage のリンクを介して iOS ユーザーを狙いました。ペイロードは、ユーザーが何もしていなくても 監視ソフトウェアをインストールします。Apple は緊急の修正を配信しましたが、攻撃者はその後何か月も、パッチの 当たっていない macOS 端末へと標的を移し続けました。
Chrome CVE-2025-1023. ユーザーに「リモートサポートを開始」をクリックさせる、偽の カスタマーサポートポータルに仕込まれていました。各企業が パッチを配信し終えるまでに 5 日かかりました。この時間幅は、金融と医療分野の重要ターゲットを 複数侵害するのに十分でした。
共通項は、気づいてみればはっきりしています。ブラウザ経由の 配送、素早い武器化、そして常に一歩遅れている防御側コミュニティ。 exploit が着弾したあとにセッションがどうハイジャックされるかに ついては、 session hijacking 対策ガイドを参照してください。
パッチ適用だけでは足りない理由
どれだけ抜かりなくパッチを当てても、隙間は残ります。現代の ブラウザは拡張機能、システムライブラリ、ユーザー設定、OS レベルのコンポーネントに依存しています。弱い輪がひとつでも あれば、扉は開いたままです。
拡張機能。 侵害された、あるいは悪意のある拡張機能は、あらゆるページに スクリプトを注入することでブラウザのパッチを丸ごとすり抜けて しまいます。2025 年の QuickTranslate の事件では、ブラウザが完全に最新だった 400 万人のユーザーが被害に遭いました。
設定ミスの残るポリシー。 legacy アプリのために site isolation や split tunneling を無効化している企業は、自前で侵入口を作っているようなものです。 ゼロデイはしばしばブラウザ本体のバグではなく、こうした設定上の 近道を突きます。
権限昇格。 ブラウザの exploit は OS レベルのバグと当たり前のように連結されます。下にある kernel やグラフィックドライバが脆弱なら、パッチが当たったブラウザでも 結局は突破されます。そしてそれが、大半のデスクトップの既定値 です。
人間側の遅れ。 パッチには再起動がつきもので、ユーザーは作業を失いたくないから 先送りし、攻撃者はキャンペーンをちょうどその瞬間に合わせてきます。 isolation はパッチ適用の代わりにはなりません。時間を稼ぐもの です。ブラウザセッションが使い捨てのクラウドコンテナの中で動いて いれば、パッチの当たっていない脆弱性はその内側で炸裂し、 セッション終了とともに消え去ります。パニックで反応する代わりに、 パッチ適用をまっとうなペースで進められるようになります。
本当に守ってくれるもの
どのチームも、標準的なコントロールが揃っているから守られているはずと思いがちです。実際のところ、本物のゼロデイに対してよくある防御がどう振る舞うのかを見てみましょう。
| 防御 | パッチ前のゼロデイ | 情報開示後の exploit kit |
|---|---|---|
| アンチウイルス/EDR シグネチャ | 不可 | 部分的 |
| パッチマネジメント | 不可 | 可(迅速なら) |
| URL レピュテーションフィルタ | 部分的 | 部分的 |
| site isolation(ローカル) | 部分的 | 部分的 |
| Tor Browser | 不可 | 不可 |
| Browser.lol(クラウド isolation) | 可 | 可 |
クラウド isolation は、ゼロ日目に機能する唯一の行です。ほかは「何を探すべきか」を 知っていることが前提ですが、それはゼロデイの定義上、不可能です。 使い捨てのリモートブラウザはシグネチャもパッチも必要としません。 exploit は、数分後に丸ごと捨てる環境のなかで走るだけです。
実用的なパターンはシンプルです。ハイリスクなブラウジング (phishing のトリアージ、ベンダーのオンボーディング、threat research、怪しい請求書の確認など)は、使用後に自動で破棄 される隔離セッションを通します。ふだんのブラウジングは ローカルに残し、いつもどおりパッチ適用とレピュテーション フィルタの層の背後に置きます。isolation とパッチ適用は代替ではありません。両輪です。
未知はまず封じ込め、それからパッチを当てる
ゼロデイは消えません。ペースは年ごとに上がり、配送経路は ますます洗練されていきます。パッチ適用を主防御にしているチームは、 ベンダーが攻撃者よりも速く動くほうに全額をベットしているような もので、この賭けは十年前から負け続きです。
戦略的な一手は、順序をひっくり返すことです。先に封じ込め、 それからパッチ。リスクのあるトラフィックは消せるセッションに 通し、パッチはまっとうなリズムで配信させる。そうすれば、 ゼロデイは「実存的脅威」ではなくなります。それは、ただの インシデントになります。小さく、限定的で、午前 3 時に誰かを叩き起こさずに片付くものに。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
