Google(Mandiant)はこのほど、「Move, Patch, Get Out the Way: 2022 Zero-Day Exploitation Continues at an Elevated Pace|Mandiant」において、2022年に実行されたゼロデイの脆弱性を突いた攻撃に関するレポートを公開した。OS、Webブラウザ、セキュリティ製品などの脆弱性が昨年のゼロデイ攻撃に悪用されたことが明らかとなった。

  • Move、Patch、Get Out the Way: 2022 Zero-Day Exploitation Continues at an Elevated Pace|Mandiant

    Move, Patch, Get Out the Way: 2022 Zero-Day Exploitation Continues at an Elevated Pace|Mandiant

主な調査結果は次のとおり。

  • 2022年に悪用されたと判断されたゼロデイ脆弱性は55件。この数は2021年に悪用された記録的な81件のゼロデイ脆弱性より少ないものの、2020年の約3倍に相当する
  • 中国国家が支援するサイバースパイグループが、他のサイバースパイ活動を行っている脅威者よりも多くのゼロデイを悪用していた
  • 金銭的な動機を持つ脅威者によって悪用されたゼロデイ脆弱性が4件確認されている。脆弱性の75%は、ランサムウェアの操作に関連していると考えられている
  • 2022年のゼロデイ脆弱性は、Microsoft(18件)、Google(10件)、Apple(9件)の製品が大半を占めた
  • 最も悪用された製品の種類は、オペレーティングシステム(19件)、次いでWebブラウザ(11件)、セキュリティ、IT、ネットワーク管理製品(10件)、モバイルOS(6件)とされている
  • Confirmed exploitation of zero-day vulnerabilities in the wild (2012–2022)|Mandiant

    Confirmed exploitation of zero-day vulnerabilities in the wild (2012–2022)|Mandiant

  • Zero-days exploited by espionage actors in 2022|Mandiant

    Zero-days exploited by espionage actors in 2022|Mandiant

悪用の容易さや成功率、ステルス性など、戦術的に大きな優位性を持つため、脅威者は引き続きゼロデイ脆弱性の発見と悪用を追求すると予想されている。

ただし、企業でクラウドサービスへの移行が進んだ場合、パッチ適用や情報開示のアプローチが変わってくるため、予想されるトレンドが変わる可能性があると指摘されている。組織に代わってクラウドベンダーが脆弱性に対応するため、パッチ適用にかかる時間が大幅に短縮され、公開後の悪用リスクが低減されると分析している。

しかしながら、過去には一部のクラウドベンダーが自社製品の脆弱性を開示しなかったこともあるため、組織に対しリスクを軽減するためにパッチを優先的に適用するよう促されている。特定の地域や業界を標的とする脅威者の種類、一般的なマルウェア、脅威者が頻繁に使用する戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)などを分析し、リスクを軽減のためのリソースを配分することが望まれている。