グーグル、商用スパイウェアを展開する「Heliconia」エクスプロイトに警鐘

今回は「グーグル、商用スパイウェアを展開する「Heliconia」エクスプロイトに警鐘」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは米国時間11月30日、標的のデバイスにスパイウェアを展開するための新たなエクスプロイトフレームワーク群に関する情報を公開した。Googleの脅威分析グループ(Threat Analysis Group:TAG)によると、「Heliconia」と名付けられたエクスプロイトは、スペインのVariston ITという企業と関係があるように見受けられるという。

 Heliconiaフレームワークは「Nデイ脆弱性」、すなわち既に修正パッチが利用可能になっている脆弱性を標的にしたものだ。これらの脆弱性は、過去に「Google Chrome」や「Firefox」「Microsoft Defender」で発見され、2021年から2022年前半にかけてすべてにフィックスが提供されている。しかし、Googleの調査によると、こうした脆弱性はゼロデイ脆弱性として、その発見前に用いられていたことが示唆されているという。

 Heliconiaをはじめとするエクスプロイトから身を守るには、すべてのソフトウェアを最新版にアップデートしておくことが重要だ。

 Googleによると、これらの新たなエクスプロイトは、商用スパイウェア業界の拡大を際立たせる最新の動きだという。

 TAGのClement Lecigne氏とBenoit Sevens氏はブログに「われわれの調査によると、以前であれば潤沢な資金と技術的専門性を有した政府のみが可能だった監視能力を商用スパイウェアベンダーが開発したことで、商用の監視が広まっている」と記している。

 そして、「スパイウェア業界の成長により、ユーザーがリスクにさらされるとともに、インターネットの安全性が損なわれることになる。監視技術は国内法や国際法に照らして合法であるかもしれないが、さまざまなグループに対するデジタル諜報活動のために有害な方法で用いられる場合もよくある」と続けている。

 GoogleがHeliconiaフレームワークの存在を知ったのは、Chromeのバグ報告プログラム宛の匿名での報告がきっかけだった。その報告には3つのバグが詳述されていた。1つ目の「Heliconia Noise」は、Chrome Rendererに潜んでいるバグを悪用し、サンドボックスから脱出するためのエクスプロイトを展開するウェブフレームワークだ。2つ目の「Heliconia Soft」は、Windows Defenderに対するエクスプロイトを保持したPDFを展開するウェブフレームワーク。3つ目は「Files」と名付けられたバグ報告であり、これにはWindowsとLinuxを標的にした、Firefoxのエクスプロイトチェーンが詳述されている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NECと杉並区、AI活用で交通や人の流れを分析する実証実施
IT関連
2022-05-25 18:11
民意とすれ違う聖火リレー、止められないテレビの美談報道とネット反応の転換期 :小寺信良のIT大作戦(1/2 ページ)
トップニュース
2021-05-16 21:39
アマゾンのベゾスCEOが最後の年次書簡で伝えたこと–5つの要点
IT関連
2021-04-21 13:13
コロナ禍で需要急増、クロックスの倉庫支える協働型ロボット–6RSのCEOに聞く
IT関連
2021-06-06 02:55
大企業のアプリケーションテストや効果の実態–トライセンティスが調査
IT関連
2024-12-14 01:24
“認知機能ケア”で市場創出なるか 食品大手でサプリやスマホアプリの開発相次ぐ
IT関連
2021-07-09 20:33
イーロン・マスク氏が最高の二酸化炭素回収技術に賞金104億円
EnviroTech
2021-01-24 05:56
原子間力顕微鏡を用いて世界で初めて個別のDNA損傷を直接観察することに成功、がんや老化のメカニズム解明に期待
IT関連
2022-03-23 02:57
物流業界向けクラウドのHacobuが9.4億円調達、業界初のビッグデータ・ガバナンス体制立ち上げ
モビリティ
2021-04-20 07:43
ウエスタンデジタルにセキュリティ侵害、被害状況はまだ不明
IT関連
2023-04-05 17:03
トレンドマイクロ製品に脆弱性、悪用攻撃も確認
IT関連
2023-09-21 07:57
AMD、生成AI向けアクセラレーターチップ「Instinct MI300X」を発表
IT関連
2023-06-15 23:41
住友ゴム、ロックウェルの製造実行システムを実装–デジタル製造を本格化
IT関連
2024-12-13 03:43
10万人超の人員計画機能を5カ月で構築したアジャイル実践事例
IT関連
2023-04-12 23:31