Googleは、2024年に野生で利用された75件のゼロデイ脆弱性を観測したと発表しました。これは2023年の98件から減少していますが、その前年の63件からは増加しています。
75件のゼロデイのうち、44%が企業向け製品を標的にしていました。セキュリティソフトウェアやアプライアンスにおいては、最大で20件の欠陥が特定されました。
「ブラウザやモバイルデバイスのゼロデイ攻撃は大幅に減少し、昨年観測したものと比較して、ブラウザでは約3分の1、モバイルデバイスでは約半分に減少しました」とGoogleの脅威インテリジェンスグループ(GTIG)はハッカーニュースと共有したレポートで述べています。
「複数のゼロデイ脆弱性からなるエクスプロイトチェーンは、引き続きほぼ独占的に(約90%)モバイルデバイスを標的にしています。」
2024年に悪用されたゼロデイのうち、Microsoft Windowsは22件、AppleのSafariは3件、iOSは2件、Androidは7件、Chromeは7件、Mozilla Firefoxは1件の欠陥が同期間に悪用されました。Androidで悪用された7件のゼロデイのうち3件はサードパーティのコンポーネントで発見されました。
企業向けソフトウェアやアプライアンスで悪用された33件のゼロデイのうち、20件はIvanti、Palo Alto Networks、Ciscoなどのセキュリティおよびネットワーク製品を標的にしていました。
「セキュリティおよびネットワークツールやデバイスは、製品やサービスを管理するために必要な高い権限を持つ広範なシステムやデバイスを接続するように設計されており、企業ネットワークへの効率的なアクセスを求める脅威アクターにとって非常に価値のあるターゲットとなっています」とGTIGの研究者は指摘しています。
2024年には合計で18のユニークな企業ベンダーが標的にされ、2021年の12社、2022年の17社、2023年の22社と比較されました。最も多くのゼロデイを標的にされた企業は、Microsoft(26件)、Google(11件)、Ivanti(7件)、Apple(5件)でした。
Googleは、ゼロデイをパッチが公に利用可能になる前に野生で悪用される脆弱性と定義しており、国家支援のサイバー諜報活動がバグの悪用の主な動機であると述べています。75件の脆弱性のうち34件のゼロデイ攻撃は、6つの広範な脅威活動クラスターに帰属されています –
- 国家支援の諜報活動(10件)、中国(5件)、ロシア(1件)、韓国(1件)による(例:CVE-2023-46805、CVE-2024-21887)
- 商業監視ベンダー(8件)(例:CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748)
- 非国家の金銭的動機によるグループ(5件)(例:CVE-2024-55956)
- 国家支援の諜報活動と金銭的動機によるグループ(5件)、すべて北朝鮮から(例:CVE-2024-21338、CVE-2024-38178)
- 非国家の金銭的動機によるグループが諜報活動も実施(2件)、すべてロシアから(例:CVE-2024-9680、CVE-2024-49039)
Googleは、2024年11月にウクライナ外交アカデミーのウェブサイト(online.da.mfa.gov[.]ua)で悪意のあるJavaScriptインジェクトを発見し、これがCVE-2024-44308のエクスプロイトを引き起こし、任意のコード実行をもたらしたと述べました。
これに続いて、WebKitのクッキーマネジメント脆弱性であるCVE-2024-44309と連携し、クロスサイトスクリプティング(XSS)攻撃を開始し、最終的にユーザーのクッキーを収集してlogin.microsoftonline[.]comへの不正アクセスを行いました。
さらにこのテクノロジー大手は、CVE-2024-9680とCVE-2024-49039を組み合わせてFirefoxサンドボックスを突破し、特権を昇格させて悪意のあるコードを実行することでRomCom RATの展開を可能にするFirefoxおよびTorブラウザのエクスプロイトチェーンを独自に発見したと述べました。
この活動は以前にESETによって指摘されており、RomCom(別名Storm-0978、Tropical Scorpius、UAC-0180、UNC2596、Void Rabisu)と呼ばれる脅威アクターに帰属されています。Googleは、この二重の金銭的および諜報活動を目的とした脅威グループをCIGARという名前で追跡しています。
これらの欠陥は、合法的で侵害された暗号通貨ニュースウェブサイトをウォータリングホールとして使用し、訪問者を攻撃者が管理するドメインにリダイレクトしてエクスプロイトチェーンをホストする、別の金銭的動機を持つハッキンググループによってゼロデイとして悪用されたと言われています。
「ゼロデイの悪用はゆっくりではありますが着実に増加し続けています。しかし、ゼロデイの悪用を緩和するためのベンダーの取り組みが成果を上げ始めているのも見受けられます」とGTIGのシニアアナリスト、ケイシー・シャリエはThe Hacker Newsと共有した声明で述べています。
「例えば、歴史的に人気のある製品を標的にしたゼロデイの悪用の事例が減少しているのを観察しています。これは、多くの大手ベンダーが悪用を防ぐために多くの努力とリソースを投じた結果と考えられます。」
「同時に、ゼロデイの悪用が企業向け製品をより多く標的にする方向にシフトしているのを見ています。これには、より広範で多様なベンダーが積極的なセキュリティ対策を強化する必要があります。ゼロデイの悪用の未来は、最終的にはベンダーの決定と脅威アクターの目的と追求に対抗する能力によって決まるでしょう。」