グーグル、「ゼロデイ攻撃」の分析結果と6つの推奨策を提示

今回は「グーグル、「ゼロデイ攻撃」の分析結果と6つの推奨策を提示」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Googleは、ソフトウェアなどにおける未修正の状態の脆弱（ぜいじゃく）性を悪用するサイバー攻撃の「ゼロデイ攻撃」に関する分析結果を公表した。近年の発生件数の推移を踏まえ、ゼロデイの検出と被害のペースが今後高止まりする可能性が高いだろうとしている。

　この分析は、同社の脅威分析グループ「TAG」と同社の傘下でセキュリティサービスを手掛けるMandiantが共同で行ったもの。エンドユーザー向けのプラットフォームや製品（モバイル端末やOS、ウェブブラウザー、その他アプリケーションなど）と、企業向けセキュリティ製品や技術などの2つの観点からゼロデイについて分析した。

　まず2023年の動向について、同社では悪用が行われたと判断した97件の脆弱性を追跡し、このうち23件の脆弱性の発見に同社が関与したとする。脆弱性の検出件数は、2022年の62件から約64％増加した一方、2021年の106件よりは少なく、今後高止まりする可能性が高いとしている。他方で、特に企業向け製品や技術に関する脆弱性の悪用は、2022年の22件から2023年では36件に増加し、同社は少なくとも2019年以降に、攻撃者が企業側を標的にする傾向が強まっていると見る。

　また、サードパーティーのコンポーネントとライブラリーの脆弱性が主なアタックサーフェス（攻撃対象領域）となっており、この分野の脆弱性が悪用されると、広範囲の複数の製品にその影響が及ぶと指摘している。

　さらに、「Commercial Surveillance Vendors」（CSV）と呼ばれる組織体がスパイウェアを使って収集した情報を攻撃者に販売し、ゼロデイ攻撃に関与するケースも増えているとも指摘する。2023年に観測された同社やAndroid製品に関するゼロデイ攻撃の75％、ウェブブラウザーとモバイル端末に関するゼロデイ攻撃の60％以上でCSVの関与が疑われるという。

　このほかの動向では、中国のサイバースパイ組織による攻撃が2022年の7件から2023年は12件に増加し、国家的関与が疑われるケースの中で多いという。明確な金銭目的のゼロデイ攻撃は10件あり、「IN11」と呼ばれる攻撃グループが3つの異なる脆弱性を悪用したケースや、少なくとも4つのランサムウェア攻撃グループが別の4つの脆弱性を別々に悪用していたケースが確認された。

　同社はこの分析を踏まえて、以下の6つの推奨事項を提起している。