Googleのセキュリティ研究チームであるProject Zeroは、2022年になってから発見された18件のゼロデイ脆弱性(セキュリティパッチが公開される前に悪用された脆弱性)のうち半数は、大手IT企業がもっとしっかりしたパッチを作成し、十分にテストしていれば防げていたと結論づけた。
Project Zeroは、2022年に入ってからMicrosoftの「Windows」、Appleの「iOS」と「WebKit」、Googleの「Chromium」と「Pixel」、Atlassianの「Confluence」に発見された18件のゼロデイ脆弱性を分析した。
ただし、今回の分析対象は主要なソフトウェア製品のみであり、すべてのソフトウェアのゼロデイ脆弱性が網羅されているわけではない。
分析の結果、2022年に入って発見されたゼロデイ脆弱性の中うち、まったく新しいものは4件しかなく、残りの脆弱性は、過去のセキュリティパッチで問題が表面的にしか修正されておらず、修正内容を迂回することによって悪用が可能になった脆弱性だったとことが明らかになった。
Project ZeroのメンバーであるMaddie Stone氏は、「2022年の前半6カ月間に発見されたゼロデイ脆弱性のうち、少なくとも半数は、より徹底した修正と回帰テストを行うことによって防げたはずのものだった。さらに、2022年に発見されたゼロデイ脆弱性のうち4件は、2021年に悪用されたゼロデイ脆弱性から派生したものだった。攻撃者は、悪用された原形のゼロデイ脆弱性が修正されてから12カ月で、原形の脆弱性から派生した脆弱性を悪用して、再び攻撃したことになる」と述べている。
同氏はさらに、ゼロデイ脆弱性のうち少なくとも半数は、「以前発見されたものと密接に関連したもの」だったとした。
Stone氏は、「2022年に悪用されたゼロデイ脆弱性の多くは、過去の完全に問題が修正されていないパッチが原因だった。例えば、Windowsのwin32kやChromiumのプロパティアクセスインターセプターの脆弱性の場合、概念実証コードで示されていた実行フローに対しては修正されたものの、根本的な原因は修正されなかった。このため、攻撃者は再び元の脆弱性を別の手段で利用することができた」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。