「脆弱性」の悪用が深刻化 “あのブラウザ”や“あのGPU”も標的に：「スパイウェア」「脆弱性悪用」がもたらす脅威【後編】

IT製品に潜む「脆弱性」を狙った攻撃が広がっている。攻撃者が主に狙うのは“人気製品”の脆弱性だ。どのようなIT製品の脆弱性を悪用しているのか。脆弱性を悪用した攻撃の実態とは。詳細を見てみよう。

[Arielle Waldman，TechTarget]

　Googleの脅威分析部隊Threat Analysis Group（TAG）は、同社の「Android」やAppleの「iOS」といったモバイルOSの脆弱（ぜいじゃく）性の悪用が活発化していると説明する。攻撃者は他にもWebブラウザやドライバといった、さまざまなIT製品の脆弱性を悪用し、攻撃を仕掛けている。これまでどのような脆弱性悪用攻撃があったのか。

“あの人気ブラウザ”も標的に　攻撃の手口と対処法は

併せて読みたいお薦め記事

連載：「スパイウェア」「脆弱性悪用」がもたらす脅威

• 前編：そのiPhoneは監視されていた――Googleが語る「スパイウェア」の背筋が凍る実態

脆弱性によるリスクを理解するには

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• Windowsを勝手に操作される「RCE」につながる脆弱性とは？　危険性と対策

　2022年12月にTAGが観測した一連の攻撃（攻撃キャンペーン）は、Samsung ElectronicsのWebブラウザ「Samsung Internet Browser」（Galaxyブラウザ）の脆弱性を悪用し、アラブ首長国連邦（UAE）内のデバイスを標的としていた。Googleのセキュリティエンジニアであり、TAGのメンバーであるクレメント・レシーニュ氏によると、攻撃者はプログラミング言語「C++」で書かれたスパイウェア群を使い、標的デバイスのデータの解読と盗難を目指していた。

　攻撃者がこの攻撃キャンペーンで使用した脆弱性の一つが「CVE-2022-22706」だ。CVE-2022-22706は、半導体設計大手ArmのGPU（画像処理プロセッサ）「Mali」のドライバの脆弱性で、標的デバイスへの不正アクセスを可能にする。CVE-2022-22706についてはGoogleが2022年12月にArmに報告し、2023年1月にArmが修正したという。

　GoogleのWebブラウザ「Chrome」に存在していた脆弱性「CVE-2022-3038」も、この攻撃キャンペーンで攻撃者が使用した。TAGによると、Googleは2022年8月にCVE-2022-3038を修正したものの、標的デバイスではパッチ（修正プログラム）が適用されていなかった。

　TAGは2022年11月、イタリアやカザフスタン、マレーシアで、AndroidとiOSのデバイスを狙った攻撃を観測した。この攻撃で、攻撃者が積極的に悪用した脆弱性は以下の通りだという。

• オープンソースのWebブラウザ「Chromium」のゼロデイ脆弱性（パッチ未提供の脆弱性）「CVE-2022-4135」（Googleが2022年11月に修正）
• オープンソースのHTMLレンダリングエンジン「WebKit」に対して、任意のプログラム実行を可能にする脆弱性「CVE-2022-42856」（Appleが2022年3月に修正）

　TAGは脆弱性対策において、ユーザー企業によるパッチ適用の重要性を強調する。「パッチ適用は、脆弱性悪用攻撃に対抗するための最も有効な方法だ」とレシーニュ氏は述べる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。