モバイルOSやブラウザより「法人向け製品」が危険？ ゼロデイ攻撃の標的が変化：Google、ゼロデイ脆弱性の動向を調査

Googleが公表した最新の脅威レポートによれば、ゼロデイ脆弱性に対する攻撃ではエンドユーザー向けから法人向けの製品・技術へと標的がシフトする傾向が見られる。背景に何があるのか。

[渡邉利和，著]

　Googleの脅威情報専門家チームGoogle Threat Intelligence Group（GTIG）による最新のレポートでは、2024年に悪用されたゼロデイ脆弱（ぜいじゃく）性75件の追跡結果が報告された。ゼロデイ脆弱（ぜいじゃく）性とは、修正プログラム（パッチ）がベンダーから提供される前の脆弱性だ。

　攻撃者の狙いが消費者向けの製品・技術から企業向けの製品・技術へとシフトする傾向が見られ、中でもよく狙われる脆弱性の領域についても明らかになってきている。調査レポートの詳細は以下の通り。

「法人向け製品」が危ない？　ゼロデイ脆弱性に対する攻撃の実態

会員登録（無料）が必要です

続きを読む

併せて読みたいお薦め記事

脅威動向をチェック

• 日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
• 追跡しにくい「国家支援型攻撃」や「生成AI悪用」が急増――CrowdStrikeが報告

　2025年4月29日（米国時間）、GTIGは、サイモン＆ガーファンクルが1964年にリリースした不朽の名曲『The Sound of Silence』（サウンド・オブ・サイレンス）の冒頭の歌詞を踏まえた「Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis」と題するブログ記事を公表し、2024年に悪用が観測されたゼロデイ脆弱性に関する調査結果を報告した。

　追跡されたゼロデイ脆弱性は75件で、これは2023年の98件からはやや減少したが、2022年の63件よりは多く、GTIGではゼロデイ脆弱性に対する攻撃は「緩やかではあるが着実に増加し続けている」と分析している。

　一方で、ベンダーによる脆弱性対策に対する投資の効果が表れている例も観測されている。従来は頻繁に攻撃対象となっていたソフトウェアに対する攻撃が顕著に減少した例として、GTIGはWebブラウザの「Safari」と、モバイルOSの「iOS」を挙げている。同時に、SOC（セキュリティオペレーションセンター）やMSSP（マネージドセキュリティサービス）などのセキュリティの監視サービスを提供する事業者のセキュリティ実施能力が向上している可能性があり、これによってゼロデイ脆弱性を突いた攻撃が未然に阻止されることが増えている兆候もある。

　攻撃対象としては、モバイルデバイスやOS、Webブラウザといったエンドユーザー向けの製品・技術から、セキュリティ関連のソフトウェアやアプライアンスなどの法人向けの製品・技術に移っていることが確認された。実際の攻撃発生件数では、法人向けの製品・技術を対象とした攻撃は全体の44％で、数としては依然としてエンドユーザー向けの製品・技術に対する攻撃の方が多数を占めている。だが法人向けの製品・技術を対象とした攻撃が2023年には37％だったことを踏まえると、攻撃者が法人向けに攻撃対象を切り替えつつある状況が伺える。

　法人向けの製品・技術に対するゼロデイ脆弱性攻撃全体の60％以上が、セキュリティ製品およびネットワーク製品の脆弱性に関連していたこともレポートは指摘している。企業向けのセキュリティ製品やネットワーク製品の脆弱性を突くことに成功した場合、その影響はエンドユーザー向けの製品・技術に比べて大きくなる可能性が高いことから、攻撃者は積極的に攻撃対象を変更し始めている。

　GTIGでは、ゼロデイ脆弱性に対する攻撃が大きな被害につながることを防ぐためにユーザー企業側で取り得る対策として、「最小権限の原則」や「ネットワークセグメンテーション」などのゼロトラストセキュリティの考え方を導入することを推奨する。その一方、最後は製品ベンダーがサイバー攻撃者を上回るだけの決意と実行力を示せるかどうかが鍵だと指摘している。