ゼロデイ脆弱性の半数は不完全なパッチが原因、 グーグルが指摘

今回は「ゼロデイ脆弱性の半数は不完全なパッチが原因、 グーグルが指摘」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleのセキュリティ研究チームであるProject Zeroは、2022年になってから発見された18件のゼロデイ脆弱性(セキュリティパッチが公開される前に悪用された脆弱性)のうち半数は、大手IT企業がもっとしっかりしたパッチを作成し、十分にテストしていれば防げていたと結論づけた。

 Project Zeroは、2022年に入ってからMicrosoftの「Windows」、Appleの「iOS」と「WebKit」、Googleの「Chromium」と「Pixel」、Atlassianの「Confluence」に発見された18件のゼロデイ脆弱性を分析した。

 ただし、今回の分析対象は主要なソフトウェア製品のみであり、すべてのソフトウェアのゼロデイ脆弱性が網羅されているわけではない。

 分析の結果、2022年に入って発見されたゼロデイ脆弱性の中うち、まったく新しいものは4件しかなく、残りの脆弱性は、過去のセキュリティパッチで問題が表面的にしか修正されておらず、修正内容を迂回することによって悪用が可能になった脆弱性だったとことが明らかになった。

 Project ZeroのメンバーであるMaddie Stone氏は、「2022年の前半6カ月間に発見されたゼロデイ脆弱性のうち、少なくとも半数は、より徹底した修正と回帰テストを行うことによって防げたはずのものだった。さらに、2022年に発見されたゼロデイ脆弱性のうち4件は、2021年に悪用されたゼロデイ脆弱性から派生したものだった。攻撃者は、悪用された原形のゼロデイ脆弱性が修正されてから12カ月で、原形の脆弱性から派生した脆弱性を悪用して、再び攻撃したことになる」と述べている。

 同氏はさらに、ゼロデイ脆弱性のうち少なくとも半数は、「以前発見されたものと密接に関連したもの」だったとした。

 Stone氏は、「2022年に悪用されたゼロデイ脆弱性の多くは、過去の完全に問題が修正されていないパッチが原因だった。例えば、Windowsのwin32kやChromiumのプロパティアクセスインターセプターの脆弱性の場合、概念実証コードで示されていた実行フローに対しては修正されたものの、根本的な原因は修正されなかった。このため、攻撃者は再び元の脆弱性を別の手段で利用することができた」と述べている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Zoff」運営会社に不正アクセス 顧客情報約9万7000件が流出、従業員や取引先企業の情報も
セキュリティ
2021-05-18 21:37
Google Cloudとシンガポール金融庁、気候フィンテックで提携–サービス開発を支援
IT関連
2022-08-02 23:41
Pancake Bunnyを開発したDeFiスタートアップのMOUNDが約1.8億円調達
フィンテック
2021-04-15 13:10
あらゆる自動車でCarPlayが使える格安スマートディスプレイ「Coral Vision」を試す  Clubhouseもハンズフリーで快適トーク (1/3 ページ)
IT関連
2021-02-15 12:41
Swiftコードを直接ビルドしてAndroidアプリを作る「Native Swift toolchain and driver for Android」、Skipがテクノロジープレビュー公開
Android
2024-09-25 08:29
Yazawa Ventures、女性起業家向けインキュベーションプログラム「アントレジェネレーター」採択企業発表
IT関連
2022-01-19 00:01
Googleが「責任あるAI」部門に新たなリーダーにマリアン・クローク博士を任命
人工知能・AI
2021-02-20 14:19
中国・上海のロックダウンで再度注目を浴びる「団購」のリアル
IT関連
2022-04-22 23:33
Switch版「Apex Legends」は3月10日配信 パッケージ版は18日発売
くらテク
2021-02-04 04:39
GitLab、「GitLab 16.6」をリリース–「GitLab Duo Chat」ベータ版を搭載
IT関連
2023-11-19 12:00
【コラム】次世代グローバル決済を生み出すAfterpayとSquareの融合
フィンテック
2021-08-18 00:37
AI時代に求められる2つの対照的スキル–数学とビジネス開発
IT関連
2023-10-04 18:16
八十二銀行、融資先の支援タイミングをAIで早期検知–予測モデルの構築/運用を内製化
IT関連
2022-07-09 13:24
PCの世界出荷台数、第3四半期は前年比15%減
IT関連
2022-10-12 08:50