ニュース
ゼロデイ脆弱性にはどのような対抗手段があるのか、Googleはこう考える:その場しのぎの修正で終わらせない
Googleの脆弱性調査専門チーム「Project Zero」は、「FIRST」カンファレンスで行った講演の概要をブログで報告した。対処方法がないと考えられがちなゼロデイ脆弱性にも有効な対策があるという。
Googleの脆弱(ぜいじゃく)性調査専門チーム「Project Zero」は2022年6月30日(米国時間)、2022年6月に開催された「FIRST」カンファレンスで行った講演「0-day In-the-Wild Exploitation in 2022...so far」の概要を公開した。
2022年の年初から2022年6月15日までに検出、公開されたゼロデイ脆弱性は18件に達した。これらを分析したところ、少なくとも9件は、過去にパッチが公開された脆弱性の亜種だと分かった。2022年冒頭から6カ月以内に見つかったゼロデイ脆弱性の少なくとも半分は、より包括的なパッチ開発と公開、リグレッション(回帰)テストが行われていれば、悪用を防ぐことができたはずだという。
さらに、2022年に見つかったゼロデイ脆弱性のうち4件は、2021年に実際に悪用されたゼロデイ脆弱性の亜種だった。元のゼロデイ脆弱性のパッチ公開からわずか12カ月で、攻撃者は元の脆弱性の亜種を悪用するようになった。
製品名 | 2022年のゼロデイ | 亜種 |
---|---|---|
Windows(win32k) | CVE-2022-21882 | CVE-2021-1732 |
iOS(IOMobileFrameBuffer) | CVE-2022-22587 | CVE-2021-30983 |
Windows | CVE-2022-30190("Follina") | CVE-2021-40444 |
Chromium(property access interceptors) | CVE-2022-1096 | CVE-2016-5128, CVE-2021-30551 CVE-2022-1232 |
Chromium(v8) | CVE-2022-1364 | CVE-2021-21195 |
WebKit | CVE-2022-22620("Zombie") | バグは2013年に修正され、パッチが2016年に公開 |
Google Pixel | CVE-2021-39793 | Linuxのサブシステムで同じバグが見つかる |
Atlassian Confluence | CVE-2022-26134 | CVE-2021-26084 |
Windows | CVE-2022-26925("PetitPotam") | CVE-2021-36942 |
脆弱性の不完全な修正に起因する問題
ゼロデイ脆弱性を悪用するエクスプロイト(攻撃コード)について、「技術的に非常に高度なものであり、これを捕捉し、防ぐのは不可能だ」と思われがちだ。これは間違っている。なぜなら2022年の年初以降に見つかったゼロデイ脆弱性の少なくとも半数が、これまでに確認された脆弱性と密接に関連しているからだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 脆弱性を突いたサイバー攻撃にも有効な予行演習――ペネトレーションテストとゼロトラストセキュリティ
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効なペネトレーションテストについて解説する。 - 脆弱性を突いたサイバー攻撃にも有効な予行演習――ペネトレーションテストとゼロトラストセキュリティ
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストによるセキュリティ構築を進めている状況でも非常に有効なペネトレーションテストについて解説する。 - IPAが「情報セキュリティ10大脅威 2022」を発表
IPAは「情報セキュリティ10大脅威 2022」を発表した。1位は「フィッシングによる個人情報等の詐取」と「ランサムウェアによる被害」だった。今回初めて「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が7位に入った。