ゼロデイ脆弱性「少なくとも11は使われていた」 Google Project Zero指摘

ソフトウェアを常に最新の状態に保っていてもゼロデイの脆弱性を狙ったサイバー攻撃は防御し切れない。2020年は少なくとも1年間で11のゼロデイ脆弱性がサイバー攻撃者に使われたことが明らかになった。複数のゼロデイ脆弱性を組み合わせた攻撃も見つかっているという。

[後藤大地，有限会社オングス]

　ソフトウェアベンダーやハードウェアベンダー、セキュリティベンダーから提供されるアップデートを漏れなく速やかに適用していけば、サイバー攻撃のリスクをある程度減らせる。しかし、いくら迅速にアップデートを適用しても回避できないリスクが「ゼロデイ脆弱性」だ。

　ゼロデイ脆弱性は脆弱性がそもそも発見されていないか、発見されていても情報が公表されておらず、修正に向けた準備段階にある状態だ。広く知られていないだけで実際には脆弱性は存在しており、サイバー攻撃者に格好の攻撃チャンスとなり得るものだ。

　ゼロデイ脆弱性を利用した攻撃は、事前の防御が難しい。特に2020年は、サイバー攻撃者にとって秘密裏に攻撃を仕掛けやすい状況だったかもしれない。Google Project Zeroによれば、2020年は少なくとも11のゼロデイ脆弱性がサイバー攻撃者に利用されたという。

Project Zero: In-the-Wild Series: October 2020 0-day discovery

7つものゼロデイ脆弱性を使ったエクスプロイトチェーンが現実に

　Googleは先の報告において、2020年10月にGoogle Project Zeroが発見したエクスプロイトチェーンについての分析結果を解説している。

　このエクスプロイトが標的としたOSは「Windows」と「iOS」「Android」だった。2つという、少ない数のエクスプロイトサーバを経由して実行された「水飲み場型」の攻撃だったとされている。

　この攻撃は影響を受けたWebサイトからエクスプロイトWebサーバへ移動してからが興味深い。エクスプロイト用のWebサーバは2つだけ用意されており、1つのエクスプロイトWebサーバでWindows、iOS、Androidに処理を使い分けている。さらにそれぞれのOS向けの実装で複数の脆弱性を利用する。複数のOSを標的とし、複数の脆弱性を利用したエクスプロイトチェーンとして動作していたという。

　このエクスプロイトでは7つのゼロデイ脆弱性が使われている。使われていたゼロデイ脆弱性の詳細は次のページに掲載されている。