ゼロデイ脆弱性にはどのような対抗手段があるのか、Googleはこう考える：その場しのぎの修正で終わらせない

Googleの脆弱性調査専門チーム「Project Zero」は、「FIRST」カンファレンスで行った講演の概要をブログで報告した。対処方法がないと考えられがちなゼロデイ脆弱性にも有効な対策があるという。

[＠IT]

　Googleの脆弱（ぜいじゃく）性調査専門チーム「Project Zero」は2022年6月30日（米国時間）、2022年6月に開催された「FIRST」カンファレンスで行った講演「0-day In-the-Wild Exploitation in 2022...so far」の概要を公開した。

　2022年の年初から2022年6月15日までに検出、公開されたゼロデイ脆弱性は18件に達した。これらを分析したところ、少なくとも9件は、過去にパッチが公開された脆弱性の亜種だと分かった。2022年冒頭から6カ月以内に見つかったゼロデイ脆弱性の少なくとも半分は、より包括的なパッチ開発と公開、リグレッション（回帰）テストが行われていれば、悪用を防ぐことができたはずだという。

　さらに、2022年に見つかったゼロデイ脆弱性のうち4件は、2021年に実際に悪用されたゼロデイ脆弱性の亜種だった。元のゼロデイ脆弱性のパッチ公開からわずか12カ月で、攻撃者は元の脆弱性の亜種を悪用するようになった。

製品名	2022年のゼロデイ	亜種
Windows（win32k）	CVE-2022-21882	CVE-2021-1732
iOS（IOMobileFrameBuffer）	CVE-2022-22587	CVE-2021-30983
Windows	CVE-2022-30190（"Follina"）	CVE-2021-40444
Chromium（property access interceptors）	CVE-2022-1096	CVE-2016-5128, CVE-2021-30551 CVE-2022-1232
Chromium（v8）	CVE-2022-1364	CVE-2021-21195
WebKit	CVE-2022-22620（"Zombie"）	バグは2013年に修正され、パッチが2016年に公開
Google Pixel	CVE-2021-39793	Linuxのサブシステムで同じバグが見つかる
Atlassian Confluence	CVE-2022-26134	CVE-2021-26084
Windows	CVE-2022-26925（"PetitPotam"）	CVE-2021-36942

脆弱性の不完全な修正に起因する問題

　ゼロデイ脆弱性を悪用するエクスプロイト（攻撃コード）について、「技術的に非常に高度なものであり、これを捕捉し、防ぐのは不可能だ」と思われがちだ。これは間違っている。なぜなら2022年の年初以降に見つかったゼロデイ脆弱性の少なくとも半数が、これまでに確認された脆弱性と密接に関連しているからだ。