エクスプロイト攻撃が活発化? 検出と開示が進んだため? 悪用されたゼロディが2021年に大幅増加

コラム

 マンディアントによると同社のMandiant Threat Intelligence によって確認されたエクスプロイト攻撃で悪用されたゼロディの数が2021年は80件にのぼったということです。これは過去最高だった2019年の2倍以上です。

目次

マンディアント「攻撃グループの3分の1に金銭目的」

 マンディアントが言うゼロディとは、パッチが公開される前に実際に悪用された脆弱性を意味しています。マンディアントによるとエクスプロイト攻撃で悪用されたゼロディは2012年頃より顕著となり2019年は32件と過去最高となり、2020年も30件にのぼりました。ところが2021年は一気に80件に達して急増したということです。

https://www.mandiant.jp/resources/zero-days-exploited-2021より

 マンディアントのデータは、サイバー攻撃においてゼロディが悪用されるケースが増えている可能性を示唆します。その背景としてマンディアントは、クラウドホスティング、モバイル、IoTへの継続的な移行によりシステムやデバイスの量が増え、複雑さも増していることから使われるソフトウェアの数が増えていることを指摘しています。つまりソフトウェアが増えることによってゼロディそのものが増えている実態があるということです。また、それと併せてエクスプロイト・ブローカー市場の拡大を指摘しています。デジタル社会の進展とともにゼロディは増殖し、そこにサイバー犯罪者が付け入る実態があるように思えます。

 マンディアントによると、攻撃者が頻繁に悪用しているのはMicrosoft、Apple、Google製品のゼロディで、これまでゼロティを悪用した攻撃は国家の支援を受けたグループが行っているケースがほとんどでしたが、最近はランサムウェアグループが悪用するケースも増えているということです。ゼロディとは未知の脆弱性ですから、ゼロティを見つけること自体、相当程度の経験や知識、組織がないと難しく、ゼロディ攻撃は基本、国家の支援があるとみられてきました。しかし、アメリカでランサムウェア攻撃により石油パイプラインの稼働が一時停止するまでにサイバー犯罪グループは力をつけている実態があり、また、エクスプロイト・ブローカー市場の拡大はエクスプロイト攻撃がより組織化、ビジネス化していることを伺わせます。マンディアントによると、2021年にゼロディを悪用した攻撃グループの3分の1は金銭的な動機があったということです。一方でゼロティ攻撃を支援している国の筆頭は依然として中国で、他にもロシアや北朝鮮などがあり、2012年以降、少なくとも10カ国がゼロディを悪用している可能性があるということです。

Googleも類似傾向、データが実態に近づいてきた?

https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.htmlより

 類似のレポートはGoogleも発表しており、Googleのプロジェクトゼロによると2021年に確認されたゼロディは58、これはそれまでの過去最高だった2015年の2倍以上にのぼるということです。2020年は25だったということですから2021年に急増した状況は、マンディアントのデータと同様です。ただしGoogleは2021年にゼロティが増加した理由について「ゼロディエクスプロイトの使用が増加したのではなく、ゼロディ攻撃の検出と開示が増加したため」だと説明しています。つまり、検出と開示が進んでこれまで明らかにならなかった実態が明らかになってきたためにデータ的には急増しているが、実際はデータが実態に近づいてきたという見解のようです。

 2021年に悪用されたゼロティが急増した理由は、検出と開示が進んで実態がより明らかになったものなのか、ゼロティの悪用そのものが増えた結果なのか線引きは難しそうですが、Googleは「過去数年間、攻撃者によるゼロディエクスプロイトへの関心と投資は着実に増加しており、セキュリティを緊急に改善する必要がある」とも記していることから、セキュリティ業界の検出と開示が進む一方、システムや機器の増加によってゼロディそのものが増えるとともにサイバー攻撃者のゼロディ攻撃への関心も高まっているといった複層した要因が背景にあると言えるのかもしれません。

アメリカなど5カ国当局、日常的に悪用された脆弱性上位15を発表

 一方、アメリカ、オーストラリア、カナダ、ニュージーランド、イギリス当局は2021年にサイバー攻撃で日常的に悪用された脆弱性の上位15を公表、Log4ShellやMicrosoftExchangeサーバーの脆弱性などが含まれています。リリースでは「悪意のあるサイバー攻撃者は、新たに開示された脆弱性を悪用して、電子メールサーバーや仮想プライベートネットワーク(VPN)サーバーなどのインターネット向けシステムを標的にした」と2021年の状況を分析しています。

■出典

https://www.mandiant.jp/resources/zero-days-exploited-2021

https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html

https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

最新情報をチェックしよう!