「脆弱性」の悪用が深刻化 “あのブラウザ”や“あのGPU”も標的に「スパイウェア」「脆弱性悪用」がもたらす脅威【後編】

IT製品に潜む「脆弱性」を狙った攻撃が広がっている。攻撃者が主に狙うのは“人気製品”の脆弱性だ。どのようなIT製品の脆弱性を悪用しているのか。脆弱性を悪用した攻撃の実態とは。詳細を見てみよう。

2023年07月15日 08時15分 公開
[Arielle WaldmanTechTarget]

 Googleの脅威分析部隊Threat Analysis Group(TAG)は、同社の「Android」やAppleの「iOS」といったモバイルOSの脆弱(ぜいじゃく)性の悪用が活発化していると説明する。攻撃者は他にもWebブラウザやドライバといった、さまざまなIT製品の脆弱性を悪用し、攻撃を仕掛けている。これまでどのような脆弱性悪用攻撃があったのか。

“あの人気ブラウザ”も標的に 攻撃の手口と対処法は

 2022年12月にTAGが観測した一連の攻撃(攻撃キャンペーン)は、Samsung ElectronicsのWebブラウザ「Samsung Internet Browser」(Galaxyブラウザ)の脆弱性を悪用し、アラブ首長国連邦(UAE)内のデバイスを標的としていた。Googleのセキュリティエンジニアであり、TAGのメンバーであるクレメント・レシーニュ氏によると、攻撃者はプログラミング言語「C++」で書かれたスパイウェア群を使い、標的デバイスのデータの解読と盗難を目指していた。

 攻撃者がこの攻撃キャンペーンで使用した脆弱性の一つが「CVE-2022-22706」だ。CVE-2022-22706は、半導体設計大手ArmのGPU(画像処理プロセッサ)「Mali」のドライバの脆弱性で、標的デバイスへの不正アクセスを可能にする。CVE-2022-22706についてはGoogleが2022年12月にArmに報告し、2023年1月にArmが修正したという。

 GoogleのWebブラウザ「Chrome」に存在していた脆弱性「CVE-2022-3038」も、この攻撃キャンペーンで攻撃者が使用した。TAGによると、Googleは2022年8月にCVE-2022-3038を修正したものの、標的デバイスではパッチ(修正プログラム)が適用されていなかった。

 TAGは2022年11月、イタリアやカザフスタン、マレーシアで、AndroidとiOSのデバイスを狙った攻撃を観測した。この攻撃で、攻撃者が積極的に悪用した脆弱性は以下の通りだという。

  • オープンソースのWebブラウザ「Chromium」のゼロデイ脆弱性(パッチ未提供の脆弱性)「CVE-2022-4135」(Googleが2022年11月に修正)
  • オープンソースのHTMLレンダリングエンジン「WebKit」に対して、任意のプログラム実行を可能にする脆弱性「CVE-2022-42856」(Appleが2022年3月に修正)

 TAGは脆弱性対策において、ユーザー企業によるパッチ適用の重要性を強調する。「パッチ適用は、脆弱性悪用攻撃に対抗するための最も有効な方法だ」とレシーニュ氏は述べる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news058.jpg

Z世代が旅に求める「令和的非日常」とは?
JTBコミュニケーションデザインと伊藤忠ファッションシステムが、Z世代の旅に関する意識...

news094.jpg

電通が「AI×クリエイティブ」の強みを生かしたビジネスコンサルティングサービスを提供開始
電通は「AI×クリエイティブ」で企業の事業やサービスの開発を支援する新サービス「AIQQQ...

news053.jpg

「docomo Ad Network」 高LTVユーザーのみに広告配信ができる顧客セグメントを追加
D2Cは顧客生涯価値が高くなることが見込まれるセグメントを抽出し、新たなセグメント情報...