ゼロデイ脆弱性市場の現在 ― 二つの市場と独力の中国 ― - GIEST 一般社団法人先端技術安全保障研究所

CISTEC Journal 5月号掲載［2025.5.31］

１．ゼロデイ脆弱性

　コンピューターシステムを使用する限り、頻繁なプログラムの更新はセキュリティー上必須の作業となる。オペレーティングシステム（OS）の更新もまた同様に重要である。これらの更新によって、それらシステムが抱える「脆弱性（vulnerability）」が改善され、安全性が高まる。システムの管理者や端末の使用者がこれらの脆弱性を放置しておくと、他者にそれを利用され、システムに対して何かしらの害を加えられてしまう可能性が残ることになる。このような脆弱性の情報を売り買いする業者が存在し、脆弱性販売会社（vulnerability provider）あるいは脆弱性仲介業者（vulnerability broker）などと呼ばれている。

　最近の傾向を見る限り、システムへの不正侵入を試みようという者―たとえばクラッカー（cracker：犯罪を行うハッカー）など―にとって、脆弱性を利用することは必ずしも主流な手段ではなくなっている^[1]。とはいえ、最も有効な手段の一つであることに変わりはない。そのことは、それらの情報が昨今の市場において以前にも増して高額で取引されていることが示唆している^[2]。システムへの侵入経路として活用され得る脆弱性は、常にソフトウェアやファームウェアといったプログラム上に存在するので、ソフトウェアやハードウェアの販売会社はそれらを発見して修正したプログラム（パッチ）をネットワーク経由で使用者に配信する作業を繰り返している。プログラムの使用者が、その送られてきたパッチをプログラムに反映させるというプロセス（パッチを当てるという）を経て、脆弱性は初めて改善される。このパッチが配信される前の脆弱性をゼロデイ脆弱性（zero-day vulnerability）と呼ぶ^[3]。

２．攻撃に利用される脆弱性

　このような脆弱性を販売会社自身が他者に先んじて見つけることができれば、これをプログラムの修正に利用して事なきを得ることができるわけだが、販売側に属さない人物（民間ハッカーなど）が先に発見すれば、その販売会社に売り込んで利益を得ることができる。しかし、販売会社に売り込まずに活用する場合は、さらに高額な利益に結び付けることができるかもしれない^[4]。例えば、米国を本拠とする脆弱性販売会社ゼロディウム（Zerodium）社は、1件につき最大で250万米ドル（2025年4月現在のレートで3億6千万円程度）で脆弱性の情報を買い取るとしている^[5]。販売会社に属さない誰かであっても、これらのゼロデイ脆弱性の情報を早期に入手することによって、パッチが当たる前の段階で、当該の脆弱性を利用した攻撃に備えることができるかもしれない。しかし、悪意を持った者がその情報を手に入れた場合、他者のシステムに不正に侵入したり、乗っ取ったりすることに活用することもまたできるだろう。つまり、脆弱性を入手した者は、それを防御的ではなく攻撃的な用途に使用することもできる。従って、これらはクラッカーにとっても、軍や法執行機関、国家情報機関などの国家機関にとっても活用の価値のあるものである。

　このようなゼロデイ脆弱性（情報）は貴重で高価なものであるが、一度でもこれを使用して第三者のシステムに悪影響を与えてしまえば、いつかはその異常にシステム管理者などに気付かれ、その存在は露見してしまうことになる。そして最終的には、ソフトウェア販売会社に対応を取られてしまいパッチを当てられ使えなくなってしまうことになる。このため、攻撃側としても使用方法や使い時は選ばざるをえない。それなりの必要性があるときにのみ、使用することになる。また、そもそも潤沢な資金を持っているか、プログラムの未知の脆弱性を見つけ出すことができるほどの高度な人材を抱えているか、もしくはその双方を備えた組織なり人物のみがこれらを入手し得る。過去には、贅沢にもゼロデイ脆弱性を4種（5種や5種以上という意見もある）も使用したマルウェアが発見されたこともある。2010年にイランで発見された最初の高度なサイバー兵器と呼ばれるスタックスネット（Stuxnet）がその一つである^[6]。このサイバー兵器あるいはマルウェアは、イラン中部の町ナタンズ近郊にある地下核施設をターゲットとしたもので、その主要設備である遠心分離機を秘密裏に約1千台破壊したとされる強力なものだった。これは、米国家安全保障局（National Security Agency：NSA）とイスラエル軍のサイバー作戦部隊である8200部隊によって開発されたものと広く信じられている^[7]。ところで、ナタンズの核施設であるが、これは数万基の遠心分離機の運用を可能とするウラン濃縮施設である。天然ウランは濃縮し濃縮ウランとすることによって、原子力発電に使用する核燃料とすることができる。そして施設を高度化することさえできれば更に濃縮度を高めて、核ミサイルの弾頭に使用できる高濃縮ウランを生産することも可能である。イランはその核開発をあくまで平和利用のためのものであると主張してきた。しかし、実際には核兵器の保有を目指しているのではないかとイスラエルや米国、欧州諸国に疑われてきており、国際原子力機関（International Atomic Energy Agency：IAEA）からも疑問符を突き付けられている^[8] ^[9]。

　また2021年に露見して、米国やNATO（北大西洋条約機構：the North Atlantic Treaty Organization）、日本などが、その実行者として中国を名指しして非難したMicrosoft Exchange Serverのハッキング事件は、世界中のメールアドレス数十万アカウントに影響を与えた大規模なサイバースパイ事件と見られているが、これに使用されたゼロデイ脆弱性もまた4種であった^[10]。いずれも資金の潤沢な組織、即ち国家機関がその実行者として疑われているわけである。

３．スパイウェア販売会社での利用

　ところで、主に法執行機関や情報機関といった国家機関にスパイウェアを提供してきた企業がある。そのような企業としては、例えば、Pegasusを提供するイスラエル企業NSOグループ（NSO Group Technologies）社や「ガリレオ（Galileo）」の愛称で呼ばれるハッキングツール・リモートコントロールシステム（Remote Control System：RCS）を提供するイタリア企業ハッキングチーム（Hacking Team）社、FinFisher（別名FinSpy）を提供する独フィンフィッシャー社（FinFisher）などが挙げられる^[11]。スパイウェアとは、第三者の端末（PCやスマホ）にその使用者に気付かれぬ間に仕込まれ、カメラやマイクから得られる映像、音声や端末内のデータなどを盗み出すプログラムのことである。ここではこのような企業をスパイウェア販売会社と呼ぶこととしたい。これらの企業によるスパイウェアの供給には批判があり、例えば上述のPegasusに関しては、権威主義国家における人権弾圧に利用されたケースが人権団体に集計され、繰り返しレポートされている^[12]。

　このようなスパイウェア販売会社も、その製品に脆弱性を活用している。例えばPegasusはiPhoneやアンドロイド端末に侵入して情報を盗むスパイウェアだが、複数のゼロデイ脆弱性を使用していたことがわかっている^[13]。また、ハッキングチーム社は2015年に自らもハッキングを受け、社内情報をリークされているが、その際に、少なくとも7種のゼロデイ脆弱性を保有していたことがわかっている^[14]。

４．グレーな領域からの脱却

　脆弱性販売会社は真っ先に脆弱性を抱えるソフトウェア販売会社に情報を提供するようなことはしない。また、その商品（つまり脆弱性情報）が犯罪者に使用され得ること、人権弾圧に利用され得ることなどの懸念があることから、その市場はグレーな存在として誕生したといえる。例えば、2008年に創業されたフランス企業ヴーペン・セキュリティー社（Vupen Security：以下、ヴーペン社、米ゼロディウム社の前身）の創業者シャウキ・ベクラー（Chaouki Bekrar）は、発見した脆弱性に基づいて、商品となるシステム侵入手段（exploit）を開発し、それをその脆弱性を抱えたソフトウェアの販売会社に教えることはせず、あくまでそれを利用する用途で第三者に販売する方針を取っていた。もし販売会社に教えてしまえば、対応が取られてしまい、それ以降は脆弱性ではなくなってしまう。パッチが当てられて以降は、その（かつての）脆弱性を利用した侵入手段は無効になってしまう。このため、侵入手段を顧客に販売する時には、そのようなことが起こらないように、脆弱性の内容を公開したり転売したりすることをしないよう禁じる契約をしていた^[4]。同社によるグレーな領域でのビジネスには、「バグを一社に販売することは、他の者全てをその使用にさらすことにはならないか」との批判があった^[15]。

　また、同じく2008年創業の脆弱性販売会社、米エンドゲーム社（Endgame, Inc.）の創業者クリス・ルーランド（Chris Rouland）は、サイバー攻撃をしてくる相手に対して企業自身が反撃できてしかるべきだという持論を展開した。但し、同社そのものが自らサイバー攻撃に手を染めることはなかったという。あくまで、企業側からの反撃のための情報やツールを商品として顧客企業へ提供した^{[16 ページ: 105-106]}。しかし、この方針は後に改められている。2012年末に就任したナサニエル・フィック（Nathaniel Fick）CEOはゼロデイ販売ビジネスを「くだらない（crummy）」として、同ビジネスから撤退する方針を掲げた^[17]。

　比較的新進の米エクソダス・インテリジェンス社（Exodus Intelligence：以下、エクソダス社）は上記2社とはかなり異なるスタンスを打ち出している。同社の場合は、発見した脆弱性の分析結果を6か月以内に脆弱性を抱える当該のソフトウェア販売元に提供するとコミットしている。このような期間を設定する理由について、その間に顧客がパッチに先んじることもできるし、脆弱性が公知のものとなるまでの間、適切な防御ができているか再確認することもできるからだとしている^[18]。定期購読料を支払えば、100以上のゼロデイ脆弱性レポートと被害を低減するための手引きにアクセスできるとしている^[19]。つまり、顧客がもしこれらゼロデイ脆弱性情報を利用して「パッチに先んじて」攻撃的な手段に利用しようと思えば、それは可能な仕組みとなっている。

５．脆弱性を国家が買う

　先に少し触れたヴーペン社は、外部から脆弱性を仕入れることをしないで、社内で分析して自ら見つけ出していた^[20]。そして、同社はその顧客をNATO加盟諸国やそのパートナー国の情報機関や法執行機関に限定していた^[4]。どの国のどの機関がゼロデイ脆弱性を購入したのか、同社は秘密としているが、フランスや米国の国家機関への販売を第一に想定したビジネスだったと考えて良いだろう。少なくとも、米NSAは2012年に始まる一年間は同社と「バイナリー分析と侵入手段サービス」の年間サブスクリプション契約を結んでいたことが情報公開法（Freedom of Information Act: FOIA）に基づく要請によって明らかになっている^[20]。なお、かつてNSAは、先述の脆弱性販売会社の老舗エンドゲーム社の主要顧客だったとの研究者や元政府職員からの証言がデイリービースト紙の記者によって報道されている^{[16 ページ: 104]}。

　前述のエクソダス社の場合は、その販売先を選ぶ際、米国政府の発行する輸出禁止令や制裁リストを尊重しているとしているので、例えば本稿執筆時点の2025年4月であれば、イランやロシア、北朝鮮の政府機関には販売されないだろうし、それら政府と関係の深い企業の多くにもまた販売されないだろう^[21]。しかし、制裁の対象となっていない国家や企業は同社からの供給を受けられる。フォーブス誌の記事によれば、同社のある一顧客が、提供されていたものと同じ侵入経路を利用して、中国やパキスタンのシステムに侵入していたようだ。同記事では、ある情報筋による情報として、その顧客はインド政府だったとしている^[22]。脆弱性はサイバー兵器の「弾薬」に例えることができる。脆弱性市場は、各国の情報機関や法執行機関、軍にサイバー兵器のこの「弾薬」を供給しているといえる。

６．二つの市場

　ロシアにおいてもまた、米国やフランスと同様に、脆弱性市場が形成されつつあるように見える。2022年に設立されたロシア企業オペレーション・ゼロ（Operation Zero）社は、ロシア唯一の公式のゼロデイ脆弱性購入プラットフォームと銘打って、米ゼロディウム社と競うように高額な対価を提示して脆弱性の情報を募集している^{[23] [24]}。顧客（販売先）として企業と政府の双方を対象とすることを明確にしており、米国やフランスなどの各社と対照的なことに、米国やNATO加盟諸国への販売をしないことを明示している。その使途として、防御的な作戦と攻撃的な安全保障（offensive security）の双方を想定していることも明示してビジネスを行っている。ロシアや同国と親密な諸国の機関に対して、サイバー兵器の「弾薬」を供給する姿勢をはっきりと示している企業である。つまり、脆弱性の市場は米国やNATO加盟諸国といった国々の間に成立している米政府機関の示す輸出禁止令や制裁リストを順守する市場と、逆に、米国やNATO加盟諸国へは販売しないロシアを中心とした市場との二つに分かれて存在しているということができる。

７．独力の中国

　ロシア企業オペレーション・ゼロ社が実際に脆弱性の募集を始めたのは起業の前年にあたる2021年であるが、同じ年に、中国がロシアとはまったく異なる方向性を打ち出している^[25]。オペレーション・ゼロ社による脆弱性募集開始のおよそ1か月後、9月1日に中国政府は「ネットワーク製品セキュリティー脆弱性管理規定（网络产品安全漏洞管理规定）」（以下、「脆弱性管理規定」）を施行して国内でビジネスをする企業に対して、発見した全ての脆弱性のパッチが当たる前の公開を制限している^[26]。同時に、その脆弱性の危険性を誇張して表現することも禁じていることなどから、ゼロディウム社やオペレーション・ゼロ社のようないわゆる脆弱性仲介業が国内で生まれたり活動したり、あるいは国内企業がこれらの企業と取引したりすることを明確に規制しようとしていることがわかる。

　この新規定の施行により、脆弱性を発見した組織または個人は、その内容を48時間以内に中国工業情報化部（MIIT）へレポートすることが義務付けられている（脆弱性管理規定第7条第2項）。そして、発見した脆弱性の詳細をパッチが利用可能になる前に公表したい場合は、製品の開発元と工業情報化部の両者と事前調整をする必要があるとしている^[26]。この法律により、脆弱性が危険性をはらんだ状態で市場に流出してしまうことを防ぐことができるようになるが、結果的に国家機関に全ての脆弱性情報がパッチ前に集まる仕組みともなっている。このため、これらが中国政府によって攻撃的な用途に使用される可能性を懸念する報告が米シンクタンク・大西洋評議会（Atlantic Council）から発されている^[27]。

　米国や欧州だけでなく、ロシアを中心とした国々においても脆弱性市場が成立しつつあり、各国の国家機関がこれら脆弱性販売会社からの脆弱性情報の購入を行っていることがここまでで紹介してきた断片的な情報から透けて見える。しかし、中国は脆弱性情報を国内に囲い込み、市場への流失を避けながら、国内で活動する企業や個人全てからそれらを徴収する仕組みを構築した。2021年の法改正による囲い込みが始まる前には、中国民間企業の高い脆弱性収集能力が世界大会などで示されていた。その能力の高さを考えると、この政策の変更によって中国のサイバー攻撃能力が高められている可能性を考える必要がある^[28]。（了）

※すべての関連年表とそれに付随する参考文献に関しましては、CISTEC Journal 5月号をご覧ください。

1. O’CONNOR, Fred. NSA: Hackers use persistence, not zero days, to breach companies. Malicious Life. (オンライン) Cybereason, 2016年1月. (引用日: 2024年9月25日.) https://www.cybereason.com/blog/nsa-hackers-use-persistence-not-zero-days-to-breach-companies.

2. FRANCESCHI-BICCHIERAI, Lorenzo. Price of zero-day exploits rises as companies harden products against hackers. TechCrunch. (オンライン) 2024年4月6日. (引用日: 2024年11月4日.) https://techcrunch.com/2024/04/06/price-of-zero-day-exploits-rises-as-companies-harden-products-against-hackers/.

3. YASAR, Kinza. Definition: zero-day vulnerability. TechTarget. (オンライン) (引用日: 2024年9月25日.) https://www.techtarget.com/searchsecurity/definition/zero-day-vulnerability.

4. GREENBERG, Andy. Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees). Forbes. (オンライン) 2013年7月11日. (引用日: 2024年9月24日.) https://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/.

5. Zerodium. Zerodium Exploit Acquisition Program. Zerodium. (オンライン) (引用日: 2024年9月25日.) https://www.zerodium.com/program.html.

6. NARAINE, Ryan. Stuxnet attackers used 4 Windows zero-day exploits. ZDnet. (オンライン) 2010年9月14日. (引用日: 2024年9月25日.) https://www.zdnet.com/article/stuxnet-attackers-used-4-windows-zero-day-exploits/.

7. SEGAL, Adam. Cyber Conflict after Stuxnet: The View from the Other Bank of the Rubicon. (編) PITTS, Hannah. Cyber Conflict After Stuxnet: Essays From The Other Bank of The Rubicon. Vienna, VA : the Cyber Conflict Studies Association, 2016, ページ: 1-42.

8. WINTOUR, Patrick. US and Europe dismiss IAEA warning in hope of reviving Iran nuclear deal. The Guardian. (オンライン) 2021年6月7日. (引用日: 2021年9月30日.) https://www.theguardian.com/world/2021/jun/07/us-and-europe-dismiss-iaea-warning-in-hope-of-reviving-iran-nuclear-deal.

9. DAVENPORT, Kelsey. Timeline of Nuclear Diplomacy With Iran. Arms Control Association. (オンライン) 2021年11月. (引用日: 2021年11月25日.) https://www.armscontrol.org/factsheets/Timeline-of-Nuclear-Diplomacy-With-Iran.

10. OSBORNE, Charlie. Everything you need to know about the Microsoft Exchange Server hack. ZDEnet. (オンライン) 2024年3月26日. (引用日: 2024年9月25日.) https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/.

11. Business & Human Rights Resource Centre. FinFisher. Business & Human Rights Resource Centre. (オンライン) (引用日: 2024年11月5日.) https://www.business-humanrights.org/ja/%E4%BC%81%E6%A5%AD/finfisher/.

12. Amnesty International. Forensic Methodology Report: How to catch NSO Group’s Pegasus. Amnesty International. (オンライン) 2021年7月18日. (引用日: 2025年4月12日.) https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/.

13. Triple Threat – NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains. The Citizen Lab. (オンライン) 2023年4月18日. (引用日: 2024年9月25日.) https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/.

14. Trend Micro. The Hacking Team Leak, Zero-Days, Patches, and More Zero-Days [updated]. Trend Micro. (オンライン) 2015年7月21日. (引用日: 2024年9月25日.) https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/the-hacking-team-leak-zero-days-patches-and-more-zero-days.

15. FISHER, Dennis; CHAOUKI, Bekrar: The Man Behind the Bugs. Threat Post. (オンライン) 2012年3月9日. (引用日: 2025年4月10日.) https://threatpost.com/chaouki-bekrar-man-behind-bugs-030912/76312/.

16. HARRIS, Shane. @War – the Rise of the Military-Internet Complex. New York : Houghton Mifflin Harcourt Publishing, 2014.

17. GREENBERG, Andy. Inside Endgame: A Second Act For The Blackwater Of Hacking. Forbes. (オンライン) 2014年2月12日. (引用日: 2025年4月10日.) https://www.forbes.com/sites/andygreenberg/2014/02/12/inside-endgame-a-new-direction-for-the-blackwater-of-hacking/.

18. Exodus Intelligence. Exodus discovers vulnerabilities & mitigates the most critical threats to your organization. Exodus Intelligence. (オンライン) (引用日: 2024年9月27日.) https://exodusintel.com/whyexodus.html.

19. —. Zero-Day Vault – Zero-Day Suscription. Exodus Intelligence. (オンライン) (引用日: 2024年9月27日.) https://exodusintel.com/zeroday.html.

20. SCHWARTZ, Mathew J. NSA Contracted With Zero-Day Vendor Vupen. Darkreading. (オンライン) 2013年9月17日. (引用日: 2024年9月25日.) https://www.darkreading.com/cyber-risk/nsa-contracted-with-zero-day-vendor-vupen.

21. Exodus Intelligence. FAQ. Exodus Intelligence. (オンライン) (引用日: 2024年9月27日.) https://exodusintel.com/faq.html.

22. BREWSTER, Thomas. Exclusive: An American Company Fears Its Windows Hacks Helped India Spy On China And Pakistan. Forbes. (オンライン) 2021年9月17日. (引用日: 2024年9月27日.) https://www.forbes.com/sites/thomasbrewster/2021/09/17/exodus-american-tech-helped-india-spy-on-china/.

23. Operation Zero. About us. Operation Zero – Zero-day Vulnerability Platform. (オンライン) (引用日: 2024年9月30日.) https://opzero.ru/en/.

24. —. Great price, guys, but that’s nothing. X. (オンライン) 2021年9月15日. (引用日: 2024年9月30日.) https://twitter.com/opzero_en/status/1437931748571111426.

25. —. We are seeking for the following #0day #exploits. X. (オンライン) 2021年7月31日. (引用日: 2024年9月30日.) https://twitter.com/opzero_en/status/1421186469927038979.

26. 工业和信息化部国家互联网信息办公室公安部. 工信部联网安〔2021〕66号 – 网络产品安全漏洞管理规定. 国际科技创新中心. (オンライン) 2021年7月12日. (引用日: 2024年9月27日.) https://www.ncsti.gov.cn/zcfg/zcwj/202107/t20210714_36630.html.

27. CARY, Dakota , Del RossoKristin. Sleight of hand: How China weaponizes software vulnerabilities. Atlantic Council. (オンライン) 2023年9月6日. (引用日: 2024年9月27日.) https://www.atlanticcouncil.org/in-depth-research-reports/report/sleight-of-hand-how-china-weaponizes-software-vulnerability/.

28. TOULAS, Bill. Chinese hackers behind most zero-day exploits during 2021. Bleeping Computer. (オンライン) 2022年4月22日. (引用日: 2024年10月31日.) https://www.bleepingcomputer.com/news/security/chinese-hackers-behind-most-zero-day-exploits-during-2021/.