編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

ゼロデイ脆弱性の半数は不完全なパッチが原因、 グーグルが指摘

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2022-07-05 13:08

 Googleのセキュリティ研究チームであるProject Zeroは、2022年になってから発見された18件のゼロデイ脆弱性(セキュリティパッチが公開される前に悪用された脆弱性)のうち半数は、大手IT企業がもっとしっかりしたパッチを作成し、十分にテストしていれば防げていたと結論づけた。

 Project Zeroは、2022年に入ってからMicrosoftの「Windows」、Appleの「iOS」と「WebKit」、Googleの「Chromium」と「Pixel」、Atlassianの「Confluence」に発見された18件のゼロデイ脆弱性を分析した。

 ただし、今回の分析対象は主要なソフトウェア製品のみであり、すべてのソフトウェアのゼロデイ脆弱性が網羅されているわけではない。

 分析の結果、2022年に入って発見されたゼロデイ脆弱性の中うち、まったく新しいものは4件しかなく、残りの脆弱性は、過去のセキュリティパッチで問題が表面的にしか修正されておらず、修正内容を迂回することによって悪用が可能になった脆弱性だったとことが明らかになった。

 Project ZeroのメンバーであるMaddie Stone氏は、「2022年の前半6カ月間に発見されたゼロデイ脆弱性のうち、少なくとも半数は、より徹底した修正と回帰テストを行うことによって防げたはずのものだった。さらに、2022年に発見されたゼロデイ脆弱性のうち4件は、2021年に悪用されたゼロデイ脆弱性から派生したものだった。攻撃者は、悪用された原形のゼロデイ脆弱性が修正されてから12カ月で、原形の脆弱性から派生した脆弱性を悪用して、再び攻撃したことになる」と述べている

 同氏はさらに、ゼロデイ脆弱性のうち少なくとも半数は、「以前発見されたものと密接に関連したもの」だったとした。

 Stone氏は、「2022年に悪用されたゼロデイ脆弱性の多くは、過去の完全に問題が修正されていないパッチが原因だった。例えば、Windowsのwin32kやChromiumのプロパティアクセスインターセプターの脆弱性の場合、概念実証コードで示されていた実行フローに対しては修正されたものの、根本的な原因は修正されなかった。このため、攻撃者は再び元の脆弱性を別の手段で利用することができた」と述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]