Zero-Day Vulnerabilities Surged by Over 50% Annually, Says Google
2024/03/27 InfoSecurity — Google が検出したゼロデイ脆弱性の量は、2022年から2023年にかけて 50% 以上も増加し、サードパーティ製コンポーネントのバグが増加しているとのことだ。Google TAG (Threat Analysis Group) と Mandiant の研究者で構成される調査チームは、2023年を振り返る “We’re All in this Together” で調査の結果を明らかにしている。2023年に発見されたゼロデイ脆弱性は合計で 97件であり、2021年の106件に僅かに及ばなかった。
このレポート (PDF) が主張するのは、Apple/Google/Microsoft などのエンドユーザー・プラットフォーム・ベンダーが、攻撃者に発見され悪用される可能性のある、ゼロデイ攻撃の数を減らすために多大な投資を行っているという点である。その結果として、現在では、特定の種類の脆弱性が悪用されるという状況は、事実上存在しなくなっているという。
ただし、企業に特化したテクノロジーについては、そうとも言えないようだ。Google は、2019年のデータを均してみると、ゼロデイが前年比で 64% も増加し、標的とされるベンダー数が全般的に増加していることを確認している。また、この1年間では、セキュリティ・ソフトウェアとアプライアンスが、特に狙われていると主張している。
このレポートには、「企業側では、標的にされるベンダーや製品の種類が増え、悪用される企業固有のテクノロジーが増加している。いち早くバグをいち早く発見し、パッチを当てれば当てるほど、エクスプロイトの寿命は短くなり、脅威アクターが攻撃の能力を維持するためのコストが増えることが、長年の調査の結果として分かってきた。業界として、これらの教訓をどのように生かし、攻撃を受けているベンダーのエコシステムに対して、広範に適用する方法を学ぶ必要がある」と記されている。
Google レポートの主要な要点
Google レポートで注目すべき傾向は、以下の通りである:
- ゼロデイ脆弱性の悪用は、複数の製品に影響を及ぼす可能性があるため、サードパーティのコンポーネントやライブラリへと、攻撃者の焦点は移行し始めている。
- Google 製品と Android エコシステム・デバイスを標的とした、2023年のゼロデイ攻撃では、75% が営利目的のスパイウェア企業によるものだった。その比率は、ブラウザとモバイルデバイスに対する、全体的なゼロデイ攻撃の 60%を占めていた。
- 2023年の中国は、政府主導のゼロデイ攻撃を、どの国よりも数多く引き起こしていた。
- 金銭的な動機によるゼロデイ発生件数は僅か 10件であり、2022年に観測された件数と比べて減少している。
Google が 2023年を振り返る、”We’re All in this Together” というレポートが提供されました。このレポートを紹介するブログ記事だけではなく、レポート本体である PDF も簡単に参照できます。Google が提供する、脅威にフォーカスしたレポートは、なかなかわかり易いのでお勧めできます。昨年も、この種のレポートを Google は提供していたのかどうかを調べてみましたが、それらしきものは見つかりませんでした。よろしければ、カテゴリ Statistics も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.