Googleが公表した最新の脅威レポートによれば、ゼロデイ脆弱性に対する攻撃ではエンドユーザー向けから法人向けの製品・技術へと標的がシフトする傾向が見られる。背景に何があるのか。
Googleの脅威情報専門家チームGoogle Threat Intelligence Group(GTIG)による最新のレポートでは、2024年に悪用されたゼロデイ脆弱(ぜいじゃく)性75件の追跡結果が報告された。ゼロデイ脆弱(ぜいじゃく)性とは、修正プログラム(パッチ)がベンダーから提供される前の脆弱性だ。
攻撃者の狙いが消費者向けの製品・技術から企業向けの製品・技術へとシフトする傾向が見られ、中でもよく狙われる脆弱性の領域についても明らかになってきている。調査レポートの詳細は以下の通り。
2025年4月29日(米国時間)、GTIGは、サイモン&ガーファンクルが1964年にリリースした不朽の名曲『The Sound of Silence』(サウンド・オブ・サイレンス)の冒頭の歌詞を踏まえた「Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis」と題するブログ記事を公表し、2024年に悪用が観測されたゼロデイ脆弱性に関する調査結果を報告した。
追跡されたゼロデイ脆弱性は75件で、これは2023年の98件からはやや減少したが、2022年の63件よりは多く、GTIGではゼロデイ脆弱性に対する攻撃は「緩やかではあるが着実に増加し続けている」と分析している。
一方で、ベンダーによる脆弱性対策に対する投資の効果が表れている例も観測されている。従来は頻繁に攻撃対象となっていたソフトウェアに対する攻撃が顕著に減少した例として、GTIGはWebブラウザの「Safari」と、モバイルOSの「iOS」を挙げている。同時に、SOC(セキュリティオペレーションセンター)やMSSP(マネージドセキュリティサービス)などのセキュリティの監視サービスを提供する事業者のセキュリティ実施能力が向上している可能性があり、これによってゼロデイ脆弱性を突いた攻撃が未然に阻止されることが増えている兆候もある。
攻撃対象としては、モバイルデバイスやOS、Webブラウザといったエンドユーザー向けの製品・技術から、セキュリティ関連のソフトウェアやアプライアンスなどの法人向けの製品・技術に移っていることが確認された。実際の攻撃発生件数では、法人向けの製品・技術を対象とした攻撃は全体の44%で、数としては依然としてエンドユーザー向けの製品・技術に対する攻撃の方が多数を占めている。だが法人向けの製品・技術を対象とした攻撃が2023年には37%だったことを踏まえると、攻撃者が法人向けに攻撃対象を切り替えつつある状況が伺える。
法人向けの製品・技術に対するゼロデイ脆弱性攻撃全体の60%以上が、セキュリティ製品およびネットワーク製品の脆弱性に関連していたこともレポートは指摘している。企業向けのセキュリティ製品やネットワーク製品の脆弱性を突くことに成功した場合、その影響はエンドユーザー向けの製品・技術に比べて大きくなる可能性が高いことから、攻撃者は積極的に攻撃対象を変更し始めている。
GTIGでは、ゼロデイ脆弱性に対する攻撃が大きな被害につながることを防ぐためにユーザー企業側で取り得る対策として、「最小権限の原則」や「ネットワークセグメンテーション」などのゼロトラストセキュリティの考え方を導入することを推奨する。その一方、最後は製品ベンダーがサイバー攻撃者を上回るだけの決意と実行力を示せるかどうかが鍵だと指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
