2023 年に実際に悪用されたゼロデイのレビュー

※この投稿は米国時間 2024 年 5 月 27 日に、Keyword に投稿されたものの抄訳です。

2023 年に Google が確認した実際に悪用されたゼロデイ脆弱性は 97 件でした。これは 2022 年に確認された件数を 50% 以上上回るものの、2021 年の 106 件という記録には及んでいません。Google はこのたび、実際に悪用されたゼロデイに関する 5 回目の年次レビューを公開しました。これは、Google の脅威分析グループ（TAG）と Mandiant が共同で作成した初のレポートとなります。

今回発表されたレポート「We’re All in this Together（全員が一丸となって）: 2023 年に実際に悪用されたゼロデイを振り返る」では、この分野をより広範に見渡すとともに、推奨事項を提示しています。TAG と Mandiant はそれぞれの専門知識を結集し、エンドユーザー向けプラットフォームやプロダクト（例: モバイル デバイス、オペレーティング システム、ブラウザ、その他のアプリケーション）、そして企業向けテクノロジー（セキュリティ ソフトウェアやアプライアンスなど）の両方に対して積極的に悪用されたゼロデイを分析しました。

私たちが望む結果は、より広範な評価だけでなく、デジタル世界の安全確保に尽力する他の人々に対する明確な指針となることです。

データを分析すると、ゼロデイとの戦いにおいて進展が見られます。エンドユーザー向けプラットフォームのベンダーである Apple、Google、Microsoft などは、注目すべき投資を行っており、それが脅威アクターの悪用できるゼロデイの種類や数に明確な影響を与えています。過去にはよく見られた脆弱性は、現在ではほとんど存在しません。

対企業の悪用では、標的となるベンダーやプロダクトの種類が増え、企業向けのテクノロジーが悪用されるケースも増えています。長年の調査から、攻撃者のバグをより早く発見してパッチを適用するほど、悪用の存続期間が短くなり、攻撃者が能力を維持するためのコストが増大することがわかっています。私たち業界としては、これらの学びを受けて、現在攻撃を受けているベンダーのより広範なエコシステムにそれを適用する方法を学ぶ必要があります。

今回のレポートにおける主な調査結果

• ベンダーの投資が変化をもたらしています。注目すべき進歩としては、Google の MiraclePtr が Chrome の use-after-free 脆弱性の悪用を防止したことや、Apple が iOS にロックダウン モードを導入し、実際に使用されている多くの攻撃チェーンを防止することに成功したことが挙げられます。
• 2023 年は、攻撃者が焦点をサードパーティのコンポーネントやライブラリに移しました。サードパーティのコンポーネントやライブラリのゼロデイ脆弱性は、2023 年の主要な攻撃対象領域となりました。これは、このタイプの脆弱性の悪用は複数のプロダクトに影響を与えるように拡大される可能性があるためです。
• 企業への標的攻撃は、2023 年にさらに増加し、より多様化しています。2023 年には、攻撃者による企業向けテクノロジーの悪用が増加し、脆弱性の総数が前年から 64% 増加したほか、少なくとも 2019 年以降、標的となる企業ベンダーの数が全般的に増加していることが観察されました。
• ブラウザやモバイル デバイスの悪用を主導しているのは、商用スパイウェア ベンダー（CSV）です。2023 年における、Google プロダクトや Android エコシステム デバイスを標的とした既知のゼロデイ攻撃の 75%（17 件中 13 件）に CSV が関与していました。2023 年に悪用されたブラウザやモバイル デバイスのゼロデイ脆弱性 37 件のうち、60% 以上がスパイウェア機能を政府機関の顧客に販売する CSV に起因するものでした。
• 中華人民共和国（PRC）は、政府の支援を背景とした悪用の先駆者として先頭に立ち続けています。PRC のサイバー エスピオナージ集団は、2023 年には 2022 年の 7 件を上回る 12 件のゼロデイ脆弱性を悪用しました。これは関連が確認できたケースにおいて他のどの国よりも多く、数年にわたって観察されている傾向が続いています。
• 金銭的な動機を持つ脅威アクターに関連する悪用は、比例して減少しています。2023 年に、金銭的な動機を持つアクターにより悪用されたゼロデイ脆弱性は 10 件であり、全体に占める割合は 2022 年に観察されたものよりも低くなっています。脅威グループ FIN11 が 3 つの異なるゼロデイ脆弱性を悪用し、さらに少なくとも 4 つのランサムウェア グループが個別に 4 つの別の脆弱性を悪用しました。

レポートが提言する 6 つの推奨事項

ゼロデイの悪用はもはやニッチな能力ではありません。脆弱性利用型不正プログラムといったテクノロジーの拡散により、この厄介な脅威が世界中のより多くの攻撃者にとって利用可能になっています。ここでは、個人や組織がセキュリティ ポスチャーを向上させるための 6 つの推奨事項を紹介します。

1. 業界がこの危機の解決に貢献できる最も重要な方法の一つは、透明性と情報開示を推進し、できるだけ迅速に、教訓とパッチを公開して共有することです。
2. 組織は、自身や他者に損害を与える可能性が最も高い脅威を優先する防御戦略を構築する必要があります。
3. 強固なセキュリティ基盤を構築することが重要です。このレポートはゼロデイに焦点を当てていますが、より単純な攻撃では攻撃者が侵入することができないようにすることが求められます。強固なセキュリティ基盤を構築することで、攻撃者にゼロデイのような高度な攻撃を使わなければならないような状況を作り出します。
4. ソフトウェアおよびプロダクト ベンダーは、設計段階において、自社製品を標的とする実際に悪用されたゼロデイが発見された場合に備え対応体制を整えておく必要があります。パッチ適用と対応に関する推奨事項は、前年までと同様に現在も有効です。
5. ハイリスク ユーザーには、iPhone ユーザーならばロックダウン モードを、Google Pixel 8 ユーザーならば Memory Tagging Extension（MTE）を有効にすることをおすすめします。
6. Chrome のハイリスク ユーザーには、「常に安全な接続を使用する」を有効にし、v8 オプティマイザーを無効にすることをおすすめします。

エンドユーザーの保護

ゼロデイ研究は、ユーザーとオンライン エコシステムを保護するうえで極めて重要です。そのため、私たちはこの分野での継続的な取り組みに注力しています。2023 年に Google の脅威インテリジェンス チームが確認した 97 件のゼロデイ脆弱性のうち、29 件が TAG と Mandiant によって発見されました。これまでどおり、脆弱性利用型不正プログラムを発見した場合は、脆弱性に対しパッチを適用し、インテリジェンス戦略や修正方法を同業他社と共有し、阻止したオペレーションに関する情報を公開します。また、脆弱性報奨金プログラム（VRP）を活用してセキュリティ研究者の貢献を認識し、ハイリスク ユーザーをオンラインの脅威から保護するためのさまざまなツールを提供しています。

リスクの高いユーザー アカウントを保護するために、Google では高度な保護機能プログラム（APP）を提供しています。これは Google の最高レベルのアカウント セキュリティであり、ユーザー保護において優れた実績を持っています。

私たちの継続的なゼロデイ研究の詳細については、「We’re All in this Together（全員が一丸となって）: 2023 年に実際に悪用されたゼロデイを振り返る」をご覧ください。

このレポートの作成に際し、Jared Semrau 氏の協力を得ました。この場を借りて感謝を申し上げます。

-脅威分析グループ、Maddie Stone

-Mandiant Intelligence、主席アナリスト James Sadowski