脆弱性の中でも「本当に危ない」のは“あれ” Googleが指摘ある調査で分かった脅威の実態【後編】

攻撃に悪用され得る脆弱性について企業は広く注意を払わなければならないが、その中でも特に警戒すべき脆弱性がある。Googleが「特に危険」と指摘する脆弱性とは。

2024年05月13日 07時00分 公開
[Alexander CulafiTechTarget]

関連キーワード

Google | サイバー攻撃 | スパイウェア


 Googleのセキュリティ研究部隊Threat Analysis Group(TAG)と、Google傘下のセキュリティベンダーMandiantは2024年3月にセキュリティレポート「We're All in this Together: A Year in Review of Zero-Days Exploited In-the-Wild in 2023」を公開した。このレポートによれば、さまざまな脆弱(ぜいじゃく)性が存在する中でも、さまざまなIT製品に影響し得る“ある脆弱性”が特に危険だ。

Googleが指摘、特に危険な脆弱性とは

 GoogleとMandiantは、2023年にさまざまな攻撃に悪用されたとみて、サードパーティーのソフトウェアの脆弱性に対して注意を呼び掛けている。サードパーティーのソフトウェアは幅広いIT製品やシステムに影響を与えるので、ベンダー独自のソースコードだけに関わる脆弱性よりも危険になる可能性があると両者は指摘する。

 具体例としてGoogleとMandiantは、GoogleのWebブラウザ「Chrome」の脆弱性「CVE-2023-4863」と、Appleの画像処理用のフレームワーク(特定の機能を実装するための型)「ImageIO」の脆弱性「CVE-2023-41064」を挙げる。両社によると、この2つの脆弱性はサードパーティーの同一の脆弱性から派生したものだ。このように、1つの脆弱性が幅広い製品やサービスに影響しかねない。

 Mandiantの主任アナリスト、ジェームズ・サドウスキー氏によると、2022年と2023年には主要なWebブラウザベンダーがセキュリティの強化に取り組んできた。「これを受けて攻撃者は、Webブラウザベンダー側の脆弱性よりもサードパーティーから“持ち込まれた”脆弱性に目を向けるようになった」とサドウスキー氏は述べる。

 ベンダー側での脆弱性修正について、GoogleとMandiantはGoogleが手掛けるセキュリティプロジェクト「MiraclePtr」を一例として挙げる。両社によると、MiraclePtrの一環としてChromeにおけるメモリの脆弱性を修正したことで、Chromeのセキュリティを高めることができた。他には、Appleが 同社のモバイルOS「iOS」に追加したセキュリティ機能「ロックダウンモード」もセキュリティ向上につながったという。ロックダウンモードは、デバイスが通常通りには機能しなくなることで攻撃を防止する仕組みだ。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news125.jpg

D2C事業の約7割が失敗する理由 成功企業との差はどこに?
クニエがD2C事業の従事者を対象に実施した調査の結果によると、D2C事業が成功した企業は...

news088.png

企業のSNS活用実態 最も使われているのはX? Instagram?
企業はSNSをどのように活用しているのか。調査PRサービスを提供するPRIZMAが、最も使われ...

news055.jpg

日本のモバイルアプリトレンド2025 クロスデバイス戦略とMMMの重要性とは?
急速に進化するモバイルアプリ市場においてAIと機械学習の活用が本格化し、マーケティン...