1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査

2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査

セキュリティニュース

投稿日時: 更新日時:

2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査

2025年4月29日、GoogleのThreat Intelligence Group(GTIG)は、2024年におけるゼロデイ脆弱性の悪用に関する詳細な分析レポートを公開しました。このレポートでは、2024年に実際に悪用されたゼロデイ脆弱性が75件確認され、これは2023年の98件から減少したものの、2022年の63件からは増加しており、ゼロデイ攻撃の脅威が依然として高い水準にあることを示しています。

ゼロデイ脆弱性の全体傾向

GTIGの分析によれば、2024年に確認された75件のゼロデイ脆弱性のうち、44%(33件)がエンタープライズ向けの技術、特にセキュリティおよびネットワーク製品を対象としていました。これは2023年の37%からの増加であり、攻撃者が企業向け製品への関心を高めていることを示しています。

ゼロデイ脆弱性の全体傾向

画像:GTIG

一方で、エンドユーザー向けのプラットフォームや製品(モバイルデバイス、オペレーティングシステム、ブラウザ)を対象としたゼロデイ脆弱性は、

全体の56%(42件)を占めました。特に、ブラウザやモバイルデバイスに対するゼロデイ攻撃は大幅に減少し、ブラウザでは約3分の1、モバイルデバイスでは約半分に減少しました。

エンタープライズ製品への攻撃の増加

2024年には、エンタープライズ向けのセキュリティおよびネットワーク製品に対するゼロデイ攻撃が顕著に増加しました。

GTIGは、これらの製品に対する20件のゼロデイ脆弱性を特定しており、これはエンタープライズ技術に対するゼロデイ攻撃の60%以上を占めています。

特に、Ivanti、Palo Alto Networks、Ciscoなどの製品が攻撃の対象となりました。これらの製品は、広範なシステムやデバイスを接続し、高い権限を持つため、攻撃者にとって魅力的なターゲットとなっています。

Ivanti:Connect SecureおよびPolicy Secureのゼロデイ脆弱性

2024年1月、IvantiはConnect Secure(旧Pulse Secure)およびPolicy Secure製品において、以下の2つのゼロデイ脆弱性が存在することを公表しました。

  • CVE-2023-46805:​認証バイパスの脆弱性で、攻撃者が認証を経ずに特定のAPIエンドポイントにアクセスできる可能性があります。

  • CVE-2024-21887:​コマンドインジェクションの脆弱性で、認証された管理者が特別に細工されたリクエストを送信することで、任意のコマンドを実行できる可能性があります。

これらの脆弱性は連携して悪用され、攻撃者が認証を回避し、管理者権限で任意のコマンドを実行することが可能となります。実際に、中国に関連するとされる攻撃グループUNC5221がこれらの脆弱性を悪用し、マルウェアの展開や認証情報の窃取を行ったと報告されています。さらに、同年1月末には追加で以下の脆弱性が公表されました。

  • CVE-2024-21888:​特権昇格の脆弱性で、一般ユーザーが管理者権限を取得する可能性があります。

  • CVE-2024-21893:​SAMLコンポーネントにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、攻撃者が認証を経ずに内部リソースにアクセスできる可能性があります。

これらの脆弱性は、全てのサポートされているバージョン(9.xおよび22.x)に影響を及ぼします。米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、これらの脆弱性に対する緊急対応を勧告し、影響を受けるシステムの即時パッチ適用や、侵害の兆候の監視を推奨しています。

Palo Alto Networks:PAN-OSのGlobalProtectにおけるコマンドインジェクション脆弱性(CVE-2024-3400)

2024年4月、Palo Alto Networksは、PAN-OSのGlobalProtect機能において、認証されていない攻撃者がroot権限で任意のコードを実行できるコマンドインジェクションの脆弱性(CVE-2024-3400)を公表しました。この脆弱性は、PAN-OSのバージョン10.2、11.0、11.1で、GlobalProtectゲートウェイまたはポータルが構成されている場合に影響を受けます。

この脆弱性は、攻撃者がファイアウォール上で任意のファイルを作成し、コマンドを実行することを可能にします。実際に、Volexity社はこの脆弱性を悪用した攻撃活動を観測しており、攻撃者がSSHリバーストンネルを用いて持続的なアクセスを確保し、ユーザーアカウント情報を取得するなどの活動が報告されています。Palo Alto Networksは、影響を受けるバージョンに対して修正パッチを提供しており、また、Threat Preventionサブスクリプションを有する顧客向けに、攻撃をブロックするためのThreat ID(95187、95189、95191)を公開しています。

Cisco:Adaptive Security Appliance(ASA)およびFirepower Threat Defense(FTD)のゼロデイ脆弱性

2024年4月、Ciscoは、ASAおよびFTDソフトウェアにおいて、国家支援型の脅威アクターによる「ArcaneDoor」と呼ばれるスパイ活動キャンペーンで悪用された2つのゼロデイ脆弱性を公表しました。

  • CVE-2024-20353:​Webサービスにおけるサービス拒否(DoS)の脆弱性で、リモートコード実行の可能性があります。

  • CVE-2024-20359:​永続的なローカルコード実行の脆弱性で、攻撃者がシステム上で持続的なアクセスを確保することが可能です。

これらの脆弱性は、攻撃者がカスタムバックドア(「Line Runner」および「Line Dancer」)を展開し、構成の変更、ネットワークトラフィックの監視、データの流出、さらには横方向の移動を可能にするために悪用されました。

Ciscoは、これらの脆弱性に対する修正パッチを提供しており、顧客に対してソフトウェアのアップグレードと、システムログの監視、予期しない再起動や異常な認証活動の検出を推奨しています。

エンドユーザー向け製品の傾向

エンドユーザー向けのプラットフォームや製品に対するゼロデイ攻撃は減少傾向にありますが、依然として重要なターゲットであり続けています。

  • ブラウザ: 2024年には、ブラウザに対するゼロデイ攻撃が17件から11件に減少しました。特に、Google Chromeが主要なターゲットとなっており、その人気の高さが影響していると考えられます。

  • モバイルデバイス: モバイルデバイスに対するゼロデイ攻撃は17件から9件に減少しました。Androidデバイスでは、サードパーティ製コンポーネントの脆弱性が引き続き悪用されており、2024年には7件のゼロデイ脆弱性のうち3件がサードパーティ製コンポーネントに関連していました。

  • デスクトップオペレーティングシステム: デスクトップOSに対するゼロデイ攻撃は増加傾向にあり、2023年の17件から2024年には22件に増加しました。特に、Microsoft Windowsに対する攻撃が顕著であり、2022年の13件、2023年の16件から2024年には22件に増加しています。

攻撃者の動向と動機

GTIGの分析によれば、ゼロデイ脆弱性の悪用において、国家支援のサイバースパイ活動が依然として主要な動機となっています。2024年に特定されたゼロデイ脆弱性のうち、34件が特定の攻撃者グループに帰属され、そのうち53%が国家支援のスパイ活動に関連していました。

  • 中国: 中国支援のグループは、Ivanti製品のゼロデイ脆弱性を含む5件のゼロデイ脆弱性を悪用しました。

  • 北朝鮮: 北朝鮮の攻撃者は、ChromeおよびWindows製品に対する5件のゼロデイ脆弱性を悪用しました。これは、北朝鮮がスパイ活動と財政的動機の両方を持つ攻撃を行っていることを示しています。

  • 商用スパイウェアベンダー(CSV): CSVの顧客は、8件のゼロデイ脆弱性を悪用しました。これらの攻撃は、物理的アクセスを必要とするデバイスのロック解除やデータ抽出を目的としていました。

脆弱性の種類と対策

2024年に悪用されたゼロデイ脆弱性の中で、以下の3つのタイプが特に多く見られました。

  1. Use-After-Free: 8件の脆弱性がこのタイプに該当し、ハードウェア、低レベルソフトウェア、オペレーティングシステム、ブラウザなどで発見されました。

  2. コマンドインジェクション: 8件の脆弱性がこのタイプに該当し、主にネットワークおよびセキュリティソフトウェアやアプライアンスを対象としていました。

  3. クロスサイトスクリプティング(XSS): 6件の脆弱性がこのタイプに該当し、メールサーバー、エンタープライズソフトウェア、ブラウザ、オペレーティングシステムなどで悪用されました。

これらの脆弱性は、ソフトウェア開発時のエラーに起因しており、コードレビュー、レガシーコードの更新、最新のライブラリの使用など、高いプログラミング標準を維持することで予防可能です。

今後の展望と推奨事項

ゼロデイ脆弱性の悪用は、依然として攻撃者にとって魅力的な手段であり続けています。特に、エンタープライズ向けの製品に対する攻撃が増加していることから、ベンダーは以下の対策を講じることが重要です。

  • 安全なコーディングプラクティスの徹底: コードレビューや最新のライブラリの使用を通じて、脆弱性の発生を未然に防ぐ。

  • ゼロトラストアーキテクチャの導入: 最小権限の原則やネットワークのセグメンテーションを実施し、攻撃の拡大を防ぐ。

  • 継続的な監視と迅速な対応: エンタープライズ製品に対するEDR(Endpoint Detection and Response)機能の強化や、インシデント発生時の迅速な対応体制の整備。

これらの対策を通じて、ゼロデイ脆弱性の悪用リスクを低減し、組織のセキュリティ体制を強化することが求められます。

 

参照

https://cloud.google.com/blog/topics/threat-intelligence/2024-zero-day-trends/?hl=en

 

関連記事

パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108)Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108) Palo Alto Networks(パロアルトネットワークス)の「PAN-OS」で緊急度の高い脆弱性が発生(CVE-2024-3400 )Palo Alto Networks(パロアルトネットワークス)の「PAN-OS」で緊急度の高い脆弱性が発生(CVE-2024-3400) Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108)Palo Alto NetworksのPAN-OSの脆弱性(CVE-2025-0110)のPoCが公開 Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467) Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) Palo AltoがCortex XSOARの脆弱性を修正(CVE-2024-5914)Palo AltoがCortex XSOARの脆弱性を修正(CVE-2024-5914) パロアルトネットワークスの重大な脆弱性(CVE-2024-5910)がサイバー攻撃に悪用されるとCISAが警告パロアルトネットワークスの重大な脆弱性(CVE-2024-5910)がサイバー攻撃に悪用されるとCISAが警告 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散