2022年にマンディアントが追跡したゼロデイ攻撃は55件━前年より減少も増加傾向

コラム

 アメリカのサイバーセキュリティ企業、マンディアントが2022年に追跡したゼロデイ攻撃は55件だったということです。81件だった2021年と比べるとやや減少しましたが、2021年のゼロデイ攻撃は突出して多かったので、55件は依然として高水準と言えます。2019年以降、増加しているゼロデイ攻撃の流れが継続していると言えそうです。

スパイ活動を目的とした悪用は13件

 

 パッチが適用される前の脆弱性がゼロデイです。マンディアントはゼロデイ攻撃を追跡しており、2012年から2018年までの追跡数は2016年の21件がもっとも多く、他は20件を下回る状況でした。しかし、2019年に32件と跳ね上がり、2020年は30件、2021年は81件と大幅に増え、2022年は2021年と比べるとやや減少したものの55件は依然として高い水準です。ゼロデイ攻撃が増加した理由についてマンディアントは金銭目的でゼロデイを悪用する攻撃者の増加をあげランサムウェア攻撃との関係を指摘しています。ただ、ゼロデイ攻撃自体はそのステルス性からサイバーエスピオナージ(サイバースパイ活動)で悪用されてきた歴史があります。

【マンディアントによるゼロデイ攻撃追跡数の推移】
Move, Patch, Get Out the Way: 2022 Zero-Day Exploitation Continues at an Elevated Pace

 マンディアントの分析によると2022年に追跡したゼロデイ攻撃55件のうち13件はサイバーエスピオナージに悪用されたものとみられ、そのうち7件は中国、2件は北朝鮮、2件はロシアがそれぞれ支援しているとみられるグループによって悪用されたようです。また、うち1件のゼロデイは中国とロシアのグループが双方とも悪用していたようです。他3件は商用スパイウェアなど民間のグループによる悪用ということです。

 中国が支援しているとみられるグループによって悪用されたゼロデイは、フォーティネットのFortiOS SSL-VPNの脆弱性やMicrosoft Diagnostic Tool(MDST)の脆弱性などがあり、インターネットに接続されたデバイス、特に管理されたセキュリティ目的で使用されるデバイス(ファイアウオール、IPS/IDSアプライアンスなど)の脆弱性を悪用するのが中国の1つのパターンだということです。

 また、北朝鮮が支援しているとみられるグループにより悪用されたゼロデイはGoogleクロームの脆弱性やMicrosoft Windows Serverの脆弱性があり、さらにロシアが支援しているとみられるグループは、Microsoft Diagnostic Tool(MDST)やMicrosoft Exchangの脆弱性を悪用し、ポーランド、ウクライナ、ルーマニア、トルコの政府、物流、石油・ガス、防衛、輸送業界を標的にしたということです。

露のウクライナ侵攻の影響? 金銭目的での悪用は減少

 一方、金銭目的に悪用されたと認められたゼロデイは4件で、いずれもランサムウェアに関連しているとの見方をマンディアントはしています。2022年の金銭を目的としたゼロデイの悪用は近年のデータと比較すると減少したということです。この理由についてマンディアントは、ロシアのウクライナ侵攻にともなうサイバー犯罪グループの混乱により2022年はランサムウェアによる身代金支払いが全体的に減少するなどランサムウェアの活動が沈静した影響との見方をしています。

 2022年にゼロデイが悪用された製品では、オペレーティングシステム(OS)が19件ともっとも多く、次いでブラウザ11件、ITおよびネットワーク製品10件、モバイルOSが6件と続いています。OSの19件のうち15件はWindowsで、他4件がmacOSだということでデスクトップオペレーティングシステムのエクスプロイトは引き続きWundowsに影響を及ぼしているということです。また、ブラウザについてはChromeに大きな偏りがみられるということですが、そもそもChromeは世界の約60~65%で使われているため必然的に悪用される割合が高くなるとしています。

 セキュリティやネットワークマネージメント製品のゼロデイの悪用では、ソフォスファイアウォール、CiscoIOS、トレンドマイクロApexセントラル、SolarWinds Serv-u、Zoho ManageEngineなどの製品をあげています。また、モバイルOSのゼロデイ脆弱性の悪用について、世界市場においてモバイルが拡大している実態を背景に今後、増加していくと予測しています。一方でデスクトップテクノロジーについても「企業ネットワークにおける役割と重要なデータへのアクセスを考えると攻撃者にとって引き続き関心を引く」と指摘、特定の人物をターゲットにした攻撃ではモバイルOSのゼロデイが悪用され、組織を標的とする場合はデスクトップやエンタープライズテクノロジーのゼロデイを悪用し、使い分けて攻撃が行われる可能性があるということです。

■出典

https://www.mandiant.com/resources/blog/zero-days-exploited-2022

https://www.mandiant.com/resources/blog/zero-days-exploited-2021

最新情報をチェックしよう!