ゼロデイ脆弱性の半数は不完全なパッチが原因、 グーグルが指摘

今回は「ゼロデイ脆弱性の半数は不完全なパッチが原因、 グーグルが指摘」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleのセキュリティ研究チームであるProject Zeroは、2022年になってから発見された18件のゼロデイ脆弱性(セキュリティパッチが公開される前に悪用された脆弱性)のうち半数は、大手IT企業がもっとしっかりしたパッチを作成し、十分にテストしていれば防げていたと結論づけた。

 Project Zeroは、2022年に入ってからMicrosoftの「Windows」、Appleの「iOS」と「WebKit」、Googleの「Chromium」と「Pixel」、Atlassianの「Confluence」に発見された18件のゼロデイ脆弱性を分析した。

 ただし、今回の分析対象は主要なソフトウェア製品のみであり、すべてのソフトウェアのゼロデイ脆弱性が網羅されているわけではない。

 分析の結果、2022年に入って発見されたゼロデイ脆弱性の中うち、まったく新しいものは4件しかなく、残りの脆弱性は、過去のセキュリティパッチで問題が表面的にしか修正されておらず、修正内容を迂回することによって悪用が可能になった脆弱性だったとことが明らかになった。

 Project ZeroのメンバーであるMaddie Stone氏は、「2022年の前半6カ月間に発見されたゼロデイ脆弱性のうち、少なくとも半数は、より徹底した修正と回帰テストを行うことによって防げたはずのものだった。さらに、2022年に発見されたゼロデイ脆弱性のうち4件は、2021年に悪用されたゼロデイ脆弱性から派生したものだった。攻撃者は、悪用された原形のゼロデイ脆弱性が修正されてから12カ月で、原形の脆弱性から派生した脆弱性を悪用して、再び攻撃したことになる」と述べている。

 同氏はさらに、ゼロデイ脆弱性のうち少なくとも半数は、「以前発見されたものと密接に関連したもの」だったとした。

 Stone氏は、「2022年に悪用されたゼロデイ脆弱性の多くは、過去の完全に問題が修正されていないパッチが原因だった。例えば、Windowsのwin32kやChromiumのプロパティアクセスインターセプターの脆弱性の場合、概念実証コードで示されていた実行フローに対しては修正されたものの、根本的な原因は修正されなかった。このため、攻撃者は再び元の脆弱性を別の手段で利用することができた」と述べている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
AIで試合のハイライト動画を自動生成 NTTドコモが3人制バスケリーグ参加チームに提供
DX
2021-05-25 13:22
クラウドセキュリティの底上げに貢献したい–インシデント経験のOktaが説明
IT関連
2024-03-20 11:15
マイクロソフト、CRMやERPと統合したAIサービス「Dynamics 365 Copilot」発表。会議のサマリ作成、社内ナレッジベースを基に顧客への回答作成など
CRM
2023-03-08 23:53
「ChatGPT」とはどんなものなのか–OpenAIの対話AIを知る
IT関連
2022-12-14 08:30
三菱ケミカルシステム、1日20万件以上のジョブ障害を予兆検知–JP1の運用データを活用
IT関連
2021-02-05 23:42
ラック、パロアルト「Cortex Xpanse」提供–アタックサーフェス管理サービスを開始
IT関連
2022-02-06 18:38
GitLabがVisual Studio CodeベースのWebIDEへ移行すると発表
GitLab
2022-05-31 11:26
仮想通貨取引所Coinbaseの上場はダイレクトリスティングに
企業・業界動向
2021-01-30 21:35
契約審査「LegalForce」、自動レビュー機能がプライバシーポリシーに対応
IT関連
2024-02-01 21:26
攻撃者が試すパスワードの上位が明らかに–デフォルトの認証情報は変更を
IT関連
2022-10-22 08:47
インドの中古スマートフォンビジネスのCashifyが16.6億円を調達
ネットサービス
2021-03-05 11:08
Zendesk、日本でサービス部門を新設–3種類のサービスパッケージを提供開始
IT関連
2022-06-17 19:32
NEC、ローカル5G/Wi-Fi対応のSDNコントローラーを発売
IT関連
2024-07-19 01:01
[速報]GitHub Codespacesが全ユーザーに無料提供へ、毎月60時間分。JetBrainsとJupyterLabもIDEとして選択可能に
GitHub
2022-11-10 09:55