Googleの脅威分析グループ「Threat Analysis Group」と、傘下のMandiant（マンディアント）が観測したところによると、昨年世に出回り、悪用されたゼロデイ脆弱性の件数は97件に上った。2022年の62件よりも56％多いという驚くべき数字だが、過去最多だった2021年の106件よりは少なかった。

Googleがゼロデイ脆弱性の悪用に関する年次調査を公開するのは、今回で5回目となる。調査では、脆弱性を大きく2つのカテゴリーに分類、エンドユーザー向けのプラットフォームおよび製品（モバイル端末、OS、ブラウザなどのアプリケーション）と、法人向け製品（セキュリティソフトウェア／アプライアンスなど）の脆弱性に分けている。

調査の結果、ゼロデイ攻撃に対する防御には進歩が見られたという。ゼロデイ攻撃とは、開発者が修正パッチを作成する前に脆弱性が悪用され、マルウェアが公開されてしまうことだ。

「エンドユーザー向けプラットフォームを提供しているApple、Google、Microsoftなどは（対策に）大きな資金を投じてきました。悪用可能なゼロデイ脆弱性の種類や数に、明らかな効果が出ています」とGoogleの研究者たちがブログ記事に書いている。「数年前によく見られた類の脆弱性は、今ではほとんど見られません」

進展があった一方で、法人向けカテゴリーでは、以前よりもさまざまなベンダーや製品が標的となり、悪用件数も増えていることが分かった。

また、金銭目的での攻撃の割合が減少していることも明らかになった。Googleが攻撃者の動機を特定できたゼロデイ攻撃58件のうち、金銭目的と思われるものはわずか10件で、残りの48件は諜報活動に関するものだという。

「ゼロデイ脆弱性が発見、悪用されるペースは明らかに高止まりしており、2021年以前のようには戻らない可能性が高いでしょう」とレポートには書かれている。

企業を狙ったゼロデイ攻撃が増加＝セキュリティツールの脆弱性悪用で

法人向け製品を標的としたゼロデイ攻撃については、36件が観測された。前年比64％増という急激な増加で、こうした製品が標的となる件数は、少なくとも2019年以降、全体的に増えている。

2019年には、観測されたゼロデイ攻撃のうち、法人向け製品に影響があったものは11.8%にとどまっていた。この数字が2023年には37.1%に急増している。

「Mandiantはこのところ、いくつかの傾向を確認していますが、この数字にはそれがはっきりと表れています。さまざまな製品が脆弱性を悪用されるようになり、攻撃を成功させるためにブラウザベースやファイルベースの攻撃に頼るという傾向が弱まっているのです」

企業を狙った件数が増加したのは、主にセキュリティソフトウェア／アプライアンスの脆弱性が悪用された結果だという。「Barracuda Email Security Gateway」「Cisco Adaptive Security Appliance」「Ivanti Endpoint Manager Mobile」「Ivanti Sentry」「Trend Micro Apex One」などの製品だ。

昨年は9件のゼロデイ脆弱性がセキュリティソフトウェア／アプライアンスに影響するものだった。「セキュリティソフトウェアは攻撃者にとって価値の高い標的です。高い権限とアクセス権を持ち、ネットワークのエッジで運用されることが多いためで、悪用できれば標的とした企業に対してその後の活動を仕掛ける最初の足がかりが得られます」とレポートにはある。

推奨事項―ゼロデイ攻撃に対するレジリエンスのために

Googleの調査レポートでは、企業等がゼロデイ攻撃に対処し、セキュリティ態勢を改善するための推奨事項を6つ挙げている。

1. 脆弱性情報、得られた教訓、修正パッチを可能な限り迅速に公開し、透明性と情報開示を確保する。
2. 防御の優先順位を決め、損害を引き起こす可能性が最も高いリスクに優先的に対処する。
3. セキュリティの基本を堅実に実践し、簡単な攻撃を無効化して敵にゼロデイ攻撃を使わせる。
4. ソフトウェアベンダーや製品ベンダーは、自社製品を標的としたゼロデイ攻撃が発見された場合の対応について、設計段階で組み込んでおく。
5. 標的となるリスクが高いユーザーの場合、（iPhoneの）ロックダウンモードなどを活用する。
6. 標的となるリスクが高いユーザーがGoogle Chromeを使用する場合、「HTTPSファーストモード」を有効にし、「V8オプティマイザー」を無効にすることが推奨される。

Google reports jump in zero-day exploits aimed at enterprises, offers 6 tips to stay safe