ゼロデイ脆弱性「少なくとも11は使われていた」 Google Project Zero指摘
ソフトウェアを常に最新の状態に保っていてもゼロデイの脆弱性を狙ったサイバー攻撃は防御し切れない。2020年は少なくとも1年間で11のゼロデイ脆弱性がサイバー攻撃者に使われたことが明らかになった。複数のゼロデイ脆弱性を組み合わせた攻撃も見つかっているという。
ソフトウェアベンダーやハードウェアベンダー、セキュリティベンダーから提供されるアップデートを漏れなく速やかに適用していけば、サイバー攻撃のリスクをある程度減らせる。しかし、いくら迅速にアップデートを適用しても回避できないリスクが「ゼロデイ脆弱性」だ。
ゼロデイ脆弱性は脆弱性がそもそも発見されていないか、発見されていても情報が公表されておらず、修正に向けた準備段階にある状態だ。広く知られていないだけで実際には脆弱性は存在しており、サイバー攻撃者に格好の攻撃チャンスとなり得るものだ。
ゼロデイ脆弱性を利用した攻撃は、事前の防御が難しい。特に2020年は、サイバー攻撃者にとって秘密裏に攻撃を仕掛けやすい状況だったかもしれない。Google Project Zeroによれば、2020年は少なくとも11のゼロデイ脆弱性がサイバー攻撃者に利用されたという。
7つものゼロデイ脆弱性を使ったエクスプロイトチェーンが現実に
Googleは先の報告において、2020年10月にGoogle Project Zeroが発見したエクスプロイトチェーンについての分析結果を解説している。
このエクスプロイトが標的としたOSは「Windows」と「iOS」「Android」だった。2つという、少ない数のエクスプロイトサーバを経由して実行された「水飲み場型」の攻撃だったとされている。
この攻撃は影響を受けたWebサイトからエクスプロイトWebサーバへ移動してからが興味深い。エクスプロイト用のWebサーバは2つだけ用意されており、1つのエクスプロイトWebサーバでWindows、iOS、Androidに処理を使い分けている。さらにそれぞれのOS向けの実装で複数の脆弱性を利用する。複数のOSを標的とし、複数の脆弱性を利用したエクスプロイトチェーンとして動作していたという。
このエクスプロイトでは7つのゼロデイ脆弱性が使われている。使われていたゼロデイ脆弱性の詳細は次のページに掲載されている。
関連記事
- ゼロデイ攻撃発生、ユーザーにできる「減災」と「防疫」とは
Emotet、Citrix製品へのゼロデイ攻撃、Windows7のサポート終了、IEの脆弱性……、2020年もセキュリティに関する話題は盛りだくさんです。「完璧な安全」は誰にも保証できない時代、ユーザー側でできる最善の備えは何になるのでしょうか。 - 攻撃者だって“コスパ”は大事 サイバーディフェンス研究所の技術トップが攻撃者視点で解説
アイティメディア主催「ITmedia Security Week 2021春」の特別講演で、サイバーディフェンス研究所の富田氏が、攻撃者視点でテレワークにおけるセキュリティ対策を語った。サイバー攻撃が実行に移されるまでの思考を分析してみよう。 - NSAがゼロトラストセキュリティモデルの導入ガイダンスを公開、一般企業にも分かりやすく
テレワーク時代のセキュリティモデルの一つとして有力視されている「ゼロトラストセキュリティ」だが、これまでのセキュリティモデルよりも複雑で実施が難しい側面がある。NSAがこの懸念を軽減するためのガイダンスを公開した。 - IPAが「情報セキュリティ10大脅威」を発表 急上昇したトレンドを押さえよう
IPAが2021年度の「情報セキュリティ10大脅威」を発表しました。本稿は、その中から前年のランク外から急上昇した脅威と、筆者が個人的に注目しているものをチェックしていきます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.