ゼロデイ脆弱性（Zero-Day Vulnerability）

「修正日ゼロ」が意味すること

脆弱性が発見されてからパッチが提供されるまでの日数が「ゼロ」――つまり修正手段がまだ存在しない状態で攻撃に利用される脆弱性を、ゼロデイ脆弱性と呼ぶ。通常のセキュリティ対応では「CVE が公開される→パッチが配布される→ユーザが適用する」というサイクルが回るが、ゼロデイではこのサイクルの最初のステップすら始まっていない。防御側にとっては、存在自体を知らない弾丸を避けろと言われているに等しい。

発見と悪用の経済学

ゼロデイ脆弱性には独特の市場が存在する。国家機関やサイバー犯罪グループは、未公開の脆弱性情報に数十万〜数百万ドルを支払うことがある。一方、バグバウンティプログラムを通じて防御側に報告した場合の報酬は、その数分の一にとどまることが多い。この経済的な非対称性が、ゼロデイが闇市場に流れやすい構造的な原因となっている。

OWASP が整理する Web アプリケーションの脆弱性カテゴリは多くが既知のパターンだが、ゼロデイはカテゴリ自体が未定義の場合もある。OpenBSD に 27 年間潜んでいたリモートクラッシュバグのように、長期間発見されなかった脆弱性ほど影響範囲が広く、サプライチェーン攻撃の起点にもなりうる。

AI が変えるゼロデイの攻防

Project Glasswing で Claude Mythos が数千件のゼロデイを発見した事実は、AI が脆弱性発見のスピードとスケールを根本的に変えつつあることを示している。従来はファジングや静的解析ツール、人間のペネトレーションテスターが主な発見手段だったが、これらの手法は時間とコストの制約から網羅性に限界があった。

AI による大規模スキャンが防御側に先に展開されれば、ゼロデイが「ゼロデイ」として悪用される前に修正できる可能性が生まれる。逆に、攻撃側が同等の AI を手にすれば、ゼロデイの量産が現実になる。CyberGym のようなベンチマークでモデルの攻撃能力を定量的に測定する取り組みは、この「AI 軍拡競争」の現在地を可視化する役割を果たしている。