Microsoft/Google/Apple を悩ませたゼロデイ脆弱性: 2022年の統計結果を見てみよう

2022 witnessed a drop in exploited zero-days

2023/03/21 HelpNetSecurity — 2022年に悪用されたゼロデイ脆弱性は 55件であり、2021年の 81件から減少しており、最も狙われたのは Microsoft/Google/Apple の製品だった。 この 55件のうち 53件が、脆弱なデバイス上での攻撃者による特権昇格やリモートコード実行につながるものだと、Mandiant の最新レポートは明らかにしている。

同社のアナリストたちは、「情報漏えいの脆弱性は、顧客やユーザーのデータが漏えいし、悪用される危険性があることから注目されがちだが、このケースにおける攻撃者の行動の範囲は限定的になりやすい。また、特権昇格やコードの実行の脆弱性が悪用されるケースでは、ネットワーク上での横方向への移動につながりやすく、イニシャル・アクセス範囲を超えた影響が生じる可能性がる」と指摘している。

N-day 脆弱性の悪用

サイバースパイ・グループにより悪用されたゼロデイ脆弱性は 13件であり、そのうち 7件が中国の国家機関により、2件が北朝鮮の攻撃者により悪用された。また、金銭的な動機に起因するゼロデイ脆弱性の悪用は 4件であり、そのうち 3件はランサムウェア行為に関連している。

2022年には、金銭的な動機によるゼロデイ脆弱性の悪用が減少した。ただし、すでにパッチが適用されている古い脆弱性を、ランサムウェアや恐喝事件における初期感染ベクターとして悪用する、N-day 攻撃が依然として発生していることを、Mandiant は発見している。

いつもの年と同じように、ゼロデイ脆弱性の影響を受けるテクノロジーの分布は、世界中で広く採用されるテクノロジーを持つ三大ベンダーが、主要なターゲットになったことを示している。

人気のある技術が最も好まれるターゲット

さらに、ゼロデイ脆弱性が悪用された頻度を見ると、以下のような製品カテゴリが上位にくる。

  • 19件:オペレーティング・システム
  • 11件:Web ブラウザー
  • 10件:セキュリティ/ネットワーク/IT 管理関連
  • 6件:モバイル・オペレーティング・システム

2022年に、最も多くゼロデイ脆弱性が悪用された OS は、Windows の 15件であり、macOS は僅か 4件だった。Web ブラウザーの悪用に関しては Chrome が主な標的となり、11件の Web ブラウザーのゼロデイ脆弱性のうち 9件が悪用された。

セキュリティ/ネットワーク/IT 管理製品もターゲットにすることが多い。それらの製品は、常にインターネットにさらされており、EDR/XDR などの一般的な検知ソリューションでは保護されないため、脅威アクターたちのターゲットになる。

Mandiant のアナリストたちは、「これらのデバイスは、複数の理由から魅力的な標的となっている。まず、インターネットからアクセスできるため、攻撃者が悪用する際に、被害者とのインタラクションが不要である。そのため、攻撃者は操作のタイミングをコントロールすることが可能となり、発見される可能性を抑えることができる。また、インターネットに接続されたデバイス上で動作するマルウェアは、ネットワーク上を横方向へと移動することが可能であり、Command and Control を可能にする」と指摘している。

彼らは、「この種の製品の多くは、デバイスの OS 上で実行されているプロセスを表示する、簡単なメカニズムを提供していないことに注意することが重要だ。それらの製品は、ネットワーク・トラフィックを検査し、異常や悪意のある動作の兆候を探すことを目的としているが、自分自体を本質的に保護していないケースが多い」と付け加えている。

スピーディーなパッチ適用の重要性

HighGround.io の CEO である Mark Lamb は、パッチが適用されていないゼロデイ脆弱性が、ユーザー組織へと攻撃者を侵入させる、確実な方法を提供していることを考えると、これらの調査結果はあまり驚くべきことではないと述べている。

彼は、「驚くべきことは、2021年以降において、ゼロデイ脆弱性の悪用が大きく減少したことだ。このデータに対して、ユーザー企業は注目すべきであり、たとえビジネスに混乱を招く可能性があるにしても、パッチ適用を強化する必要がある。ゼロデイ脆弱性が公開された直後から、それを悪用する方法を探している攻撃者たちが動き始める。したがって、修正プログラムがリリースされた直後から、それらの脆弱性への対応を優先し、システムにパッチ適用する必要がある。大半の大手ベンダーが、決まった日に月例アップデートをリリースしているため、可能な限り迅速にパッチ適用する必要がある」と述べている。

ゼロデイ脆弱性の悪用が、2021年の 81件から 2022年の 55件へと減少しましたが、文中のグラフで見ると、2020年以前の件数は、もっと少なかったことが分かります。そして、2022年に最も狙われたのは Microsoft/Google/Apple だったとのことです。ちなみに、Microsoft の月例アップデートで対応されたゼロデイ脆弱性は、2022年の合計で 31件でした。また、これ以外にも、不定期にアップデート対応されたゼロデイもあるはずです。そのうちの 18件が悪用されたわけです。なお、Google と Apple に関しては、数えようがありませんでした。