Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」 2022年に41件が悪用される:前年比では大きく減少
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。
Googleは2023年7月27日(米国時間)、2022年に悪用されたゼロデイ脆弱(ぜいじゃく)性に関する年次報告書を発表した。それによると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。
Googleがこの年次報告書を発表するのは、今回で4回目だ。2022年6月末には、2022年上半期に悪用されたことが検出、公開されたゼロデイ脆弱性についての中間報告も発表している。
今回の発表によると、2022年に検出、公開されたゼロデイ脆弱性41件のうち、パッチが上半期に配布されたものが20件、下半期に配布されたものが21件だった。
これらのゼロデイ脆弱性が見つかった製品は以下の通り。このリストは、ベンダー名のアルファベット順。製品名の表記は、報告書とともに公開された表計算シートでの表記による。
- Appleの「iOS」「macOS」「iOS/macOS」(4件)、「WebKit」(3件)
- Arm、Google、Samsungの「Android」(3件)
- Atlassianの「Confluence Server & Data Center」
- Citrixの「ADC/Gateway」
- Fortinetの「FortiOS」
- Trend Microの「Apex Central」
- Googleの「Chrome」(9件)
- Microsoftの「Exchange Server」(2件)、「Internet Explorer」「Windows」(8件)
- Mozillaの「Firefox」(2件)
- Sophosの「Firewall」(2件)
- Synacorの「Zimbra Collaboration Suite」
41件のゼロデイ脆弱性を種類別に見ると、メモリ破損が26件、ロジック/設計の欠陥が14件、クロスサイトスクリプティング(XSS)が1件だった。
Googleは、「2022年のゼロデイ脆弱性の検出、公開件数は、前年比で約40%減少した。このことはセキュリティ向上対策の勝利のように見えるかもしれないが、現実はもっと複雑だ」と述べ、報告書のハイライトとして以下を挙げている。
- Androidのエコシステム全体で、パッチがかなりの期間、ユーザーに提供されないケースが複数あった。こうした場合、攻撃者は“Nデイ”脆弱性を悪用することが可能だった
- ゼロクリック攻撃やブラウザの新しい脆弱性緩和策が、ブラウザのゼロデイ脆弱性の悪用を減少させている。多くの攻撃者が、ユーザー側の操作を必要としないゼロクリック攻撃に移行しており、この攻撃は通常、ブラウザ以外のコンポーネントを標的とする。全ての主要なブラウザが、脆弱性の悪用を困難にする新たな防御策を実装していることが、こうした標的の変更に影響している可能性がある
- 2022年に検出、公開されたゼロデイ脆弱性の40%以上に当たる17件が、以前に報告された脆弱性の亜種だった。これは、2020年の年次報告書と2022年の中間報告でも取り上げた悪い傾向を引き継いでいる
- 2022年には、複数の攻撃者が同じ脆弱性を悪用しているという報告や、セキュリティ研究者が報告した脆弱性が、後に攻撃者によって悪用されていることが発見されたという報告が、これまでより頻発した
Googleは、2022年に検出、公開されたゼロデイ脆弱性の分析を踏まえ、業界全体で引き続き以下に重点を置いて、セキュリティ対策が講じられることを期待すると述べている
- 既存の脆弱性の亜種や、Nデイ脆弱性の悪用を防ぐため、ユーザーがより包括的かつタイムリーにパッチを適用する
- ベンダーがブラウザに続いてより多くのプラットフォームについて、脆弱性の悪用が全体的に難しくなるように、広範な緩和策を提供する
- ベンダーとセキュリティ担当者の間で透明性とコラボレーションを引き続き向上させ、技術的な詳細情報を共有したり、複数製品にまたがるエクスプロイトチェーンを共同で検出したりすることに取り組む
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ゼロデイ脆弱性にはどのような対抗手段があるのか、Googleはこう考える
Googleの脆弱性調査専門チーム「Project Zero」は、「FIRST」カンファレンスで行った講演の概要をブログで報告した。対処方法がないと考えられがちなゼロデイ脆弱性にも有効な対策があるという。 - piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。 - ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。