ゼロデイ攻撃に「弱いIT」と「強いIT」 何が運命を左右するのか

ゼロデイ脆弱性を利用したサイバー攻撃は恐ろしい。攻撃を防ぐ「パッチ」がまだ公開されていないからだ。一見、防ぎようがない攻撃に見える。どのように対抗すればよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　Mandiantが2023年3月20日に発表した調査結果によると（注1）、ゼロデイ脆弱（ぜいじゃく）性の悪用は減少しているという。2022年に悪用が確認された数は、2021年の約3分の1にとどまっているからだ。だが、この見方は偏っている。2022年に悪用されたゼロデイ脆弱性は55件あり、これは過去2番目に多い。

どのようなソフトウェアが狙われるのか、どうすれば対抗できるのか

　サイバー攻撃者が利用したいと考えている脆弱性には2つの特徴がある。

　一つはゼロデイだということ。つまりセキュリティ業界にまだ明らかになっていない脆弱性であり、パッチが公開されていない。Mandiantのゼロデイ脆弱性の定義もパッチが公開される前に悪用されるものだとしている。もう一つは広く利用されているソフトウェアやOSの脆弱性だ。攻撃範囲が広くなるからだ。

　Mandiantの調査結果はこれを裏付けている。MicrosoftとGoogle、Appleの3大ベンダーの製品がゼロデイ脆弱性の悪用で最も多く利用されており、それぞれ、18件、10件、9件だった。

　2022年はゼロデイ脆弱性の3件に1件以上がデスクトップOSに影響を与えた。Mandiantによれば、Webブラウザは5件に1件、モバイルOSは10件に1件の割合で発生しているという。

3大ベンダー以外の何に注意すればよいのか

　特定の対象を狙った攻撃ももちろん存在する。ユニークな製品やニッチな製品でも悪用されたゼロデイ脆弱性が増えており、報告書によれば一部の攻撃者は、特定のターゲットや被害者が使用するシステムに焦点を当てたより的を絞ったアプローチを採用しているという。

　2021年と2022年に悪用されたゼロデイ脆弱性のうち、少なくとも4件に1件は3大ベンダー以外の製品に影響を与えており、そのようなソフトウェアの防御にもリソースを投じる必要がある。

　例えば攻撃者はセキュリティ製品やIT製品、ネットワーク管理製品も標的にしている。その理由はこれらの製品が常にインターネットに接続されており、組織による監視の度合いも低くなりがちだからだ。

　Mandiantの調査によると、この種の製品に存在するゼロデイ脆弱性は、2022年に悪用された5件に1件の割合を占めた。例えばCisco SystemsやFortinet、SolarWinds、Sophos Group、Trend Micro、Zohoの製品が影響を受けた。

どうすれば対抗できるのか

　「被害者のネットワーク構成によってゼロデイ脆弱性のリスクは大きくも小さくもなる。あまりサイバー攻撃の標的とされていないベンダーや製品がユニークに、または不適切に構成されていると、そのネットワークに大きなリスクをもたらす可能性がある」（Mandiantのジェームズ・サドウスキー氏《主席アナリスト》）

　「ネットワーク設計にゼロトラストアプローチを採用している組織はゼロデイ攻撃のリスクが低い。なぜなら攻撃者がゼロデイ脆弱性を利用して侵入を果たした後、被害者のITシステムに広く浸透しようとしても、その範囲が限定されるからだ」（サドウスキー氏）

出典：Zero-days fell by one-third in 2022, Mandiant says（Cybersecurity Dive）

注1：Move, Patch, Get Out the Way: 2022 Zero-Day Exploitation Continues at an Elevated Pace