Googleが示す2024年ゼロデイ攻撃の全容 脆弱性75件を追跡調査：セキュリティニュースアラート

Googleは2024年のゼロデイ脆弱性の悪用状況を分析した年次レポートを公開した。同年では75件のゼロデイ脆弱性の悪用が確認されたが、この流れは今後、拡大するとみられている。

[後藤大地，有限会社オングス]

　Googleは2025年4月29日（現地時間）、2024年に観測したゼロデイ脆弱（ぜいじゃく）性の悪用に関する年次レポート「Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis」を発表した。

　同レポートはGoogleの脅威インテリジェンスグループ（GTIG）によってまとめられており、同年に悪用を確認したゼロデイ脆弱性が75件に上ったことを明らかにした。

ゼロデイ攻撃は緩やかに増加、攻撃者の関心は企業ネットワークに

　「2024年に悪用されたゼロデイ脆弱性の件数は2023年の98件を下回ったものの、2022年の63件を上回っており、全体として緩やかな上昇傾向にある」とGTIGは指摘している。レポートではこれらの脆弱性をエンドユーザー向けテクノロジー（Webブラウザ、モバイル、デスクトップOSなど）と、エンタープライズ向けテクノロジー（セキュリティソフトウェアやネットワーク機器など）の2つのカテゴリーに分類して分析した。

　中でもエンタープライズ向けテクノロジーを標的とした攻撃が拡大しており、2024年に観測したゼロデイ脆弱性のうち44％（33件）がこのカテゴリーに該当する。これは前年の37％（36件）からの増加であり、セキュリティやネットワーク機器が高い割合を占めている。IvantiやPalo Alto Networks、Ciscoなどの製品が標的となり、単一の脆弱性で遠隔コード実行や特権昇格が可能な事例も確認されている。

　一方、エンドユーザー向けテクノロジーではWebブラウザとモバイルデバイスに対するゼロデイ攻撃が減少した。Webブラウザに対する攻撃は前年の17件から11件に、モバイルデバイスは同じく17件から9件に減少した。Webブラウザでは「Google Chrome」が主な標的となっており、「Android」端末では依然としてサードパーティー製コンポーネントの脆弱性が多く悪用されている。

　デスクトップOSに対する攻撃は引き続き多く、2024年には22件のゼロデイ脆弱性が報告された。中でも「Windows」の脆弱性が多く、前年の16件から増加した。Windowsは依然として家庭・業務の両分野で広く使用されていることから、攻撃者にとって重要な標的であり続けている。

　悪用のあった脆弱性のタイプとしては、リモートコード実行（RCE）と権限昇格が半数以上を占めており、解放後使用（UAF）、コマンドインジェクション（OSコマンドインジェクションを含む）、クロスサイトスクリプティング（XSS）なども多く観測された。特にコマンドインジェクションはネットワークおよびセキュリティ製品の攻撃に多く見られ、広範なシステム制御を可能にする手段として利用されている。

　国家支援によるサイバー諜報活動も依然としてゼロデイの主要な利用目的の一つだ。GTIGが特定できた34件のゼロデイ脆弱性のうち、全体の約53％が政府系または商用スパイウェアベンダー（CSV）によるものだった。中国政府に支援される脅威グループは5件、北朝鮮系脅威グループも同数の5件を悪用しており、北朝鮮が中国と並ぶ件数を記録したのは2012年にゼロデイ攻撃の調査を開始して以来初めてのこととなる。特に北朝鮮のAPT37は、Microsoft製品の脆弱性を悪用してマルウェア配布を試みた事例が報告されている。

　GTIGは報告の中で、「ゼロデイ脆弱性への対応にはソフトウェアベンダーの安全なコーディング慣行の徹底と、構成・設計上の抜け道の解消が不可欠だ」と指摘している。特に高い権限を持ち、広範囲なアクセスを可能にする企業向け製品ではゼロトラストや最小権限の原則に基づいた設計が求められている。

　GTIGはゼロデイ脆弱性の悪用は今後も徐々に拡大すると予測しており、ベンダーがセキュリティ対策を強化し、脆弱性の早期発見と修正を継続的に実施することが将来的な被害の抑止につながると強調している。