隙を突くのは攻撃の有効な手段ではあるけれど…。
ゼロデイ脆弱性について研究するGoogleのProject Zero。2014年のプロジェクト発足以来、去年のゼロデイ脆弱性の件数が過去最高だったことがレポートで明らかになりました。
ゼロデイ脆弱性とは、プログラムやプラットフォームなどに脆弱性が見つかり、その修正パッチが配布される前の状態。その隙をついた攻撃をゼロデイ攻撃と言います。
2021年に検出されたゼロデイ脆弱性は58件で、リサーチを始めてから過去最高。2015年が28件だったことを考えると、6年で倍以上に増えています。
Googleレポートによれば、脆弱性探しが年々複雑かつ利口になっている…わけではなくて。同じバグのパターンや開発技術で、同じ攻撃を仕掛け続けている、つまりいくつかのターゲットを同じ手法でちょいちょい探りを入れ続け監視し、隙がないか伺っているようです。このターゲットには、トップIT企業も含まれており、昨年はアップルのiOS/macOS、マイクロソフトのWindows/Exchange、そしてもちろんGoogleのサービスも含まれています。ちなみに、レポートを公開したGoogle自身は、昨年はChromeで14件、Androidで7件検出されています。
Googleいわく、近年のゼロデイ脆弱性・攻撃に対する企業の意識、セキュリティに関する投資は非常に高まっている一方で、今以上の強化を迅速に行なっていく必要があると指摘しています。
Project Zeroは、ゼロデイ脆弱性に関する記録をスプレッドシートで公開、常時アップデートしており、誰でもチェックすることができます。
Source: Project Zero