攻撃に悪用され得る脆弱性について企業は広く注意を払わなければならないが、その中でも特に警戒すべき脆弱性がある。Googleが「特に危険」と指摘する脆弱性とは。
Googleのセキュリティ研究部隊Threat Analysis Group(TAG)と、Google傘下のセキュリティベンダーMandiantは2024年3月にセキュリティレポート「We're All in this Together: A Year in Review of Zero-Days Exploited In-the-Wild in 2023」を公開した。このレポートによれば、さまざまな脆弱(ぜいじゃく)性が存在する中でも、さまざまなIT製品に影響し得る“ある脆弱性”が特に危険だ。
GoogleとMandiantは、2023年にさまざまな攻撃に悪用されたとみて、サードパーティーのソフトウェアの脆弱性に対して注意を呼び掛けている。サードパーティーのソフトウェアは幅広いIT製品やシステムに影響を与えるので、ベンダー独自のソースコードだけに関わる脆弱性よりも危険になる可能性があると両者は指摘する。
具体例としてGoogleとMandiantは、GoogleのWebブラウザ「Chrome」の脆弱性「CVE-2023-4863」と、Appleの画像処理用のフレームワーク(特定の機能を実装するための型)「ImageIO」の脆弱性「CVE-2023-41064」を挙げる。両社によると、この2つの脆弱性はサードパーティーの同一の脆弱性から派生したものだ。このように、1つの脆弱性が幅広い製品やサービスに影響しかねない。
Mandiantの主任アナリスト、ジェームズ・サドウスキー氏によると、2022年と2023年には主要なWebブラウザベンダーがセキュリティの強化に取り組んできた。「これを受けて攻撃者は、Webブラウザベンダー側の脆弱性よりもサードパーティーから“持ち込まれた”脆弱性に目を向けるようになった」とサドウスキー氏は述べる。
ベンダー側での脆弱性修正について、GoogleとMandiantはGoogleが手掛けるセキュリティプロジェクト「MiraclePtr」を一例として挙げる。両社によると、MiraclePtrの一環としてChromeにおけるメモリの脆弱性を修正したことで、Chromeのセキュリティを高めることができた。他には、Appleが 同社のモバイルOS「iOS」に追加したセキュリティ機能「ロックダウンモード」もセキュリティ向上につながったという。ロックダウンモードは、デバイスが通常通りには機能しなくなることで攻撃を防止する仕組みだ。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
