グーグルが指摘する、ソフトウェアの脆弱性が無くならない理由
ソフトウェアに脆弱性が発見されるとベンダーは修正版や修正用パッチを出すが、限定的な対応しかしておらず、類似した別の脆弱性が放置されていることも少なくない。ベンダーはより深いレベルで脆弱性を根絶することを目指すべきだ。 by Patrick Howell O'Neill2021.02.08
2018年12月、グーグルの研究者たちは、マイクロソフトのインターネットエクスプローラーを狙ったハッカー集団を発見した。インターネットエクスプローラーの開発はその2年前に停止されていたとはいえ、非常に広く使用されているブラウザーである。つまり、このブラウザーをハッキングする方法を見つけることができれば、何十億台ものコンピューターのハッキングへの扉が開かれてしまう可能性があるのだ。
このハッカー集団は、「ゼロデイ脆弱性」と呼ばれる、未知の欠陥を探しており、それを見つけつつあった。
このハッカー集団の存在を認識して間もなく、研究者はインターネットエクスプローラーの脆弱性を狙うツールが出回っていることを発見した。マイクロソフトはパッチを発行して欠陥を修正したが、2019年9月に、別の似たような脆弱性が同じハッカー集団によって悪用されていることが分かった。
2019年11月と2020年1月、2020年4月にさらに同様の事例が見つかったため、同じ類のバグから少なくとも5つのゼロデイ脆弱性が短期間で悪用されていたことになる。マイクロソフトは複数回のセキュリティアップデートを実施したが、実際には対象となる脆弱性を修正できなかったものもあれば、ハッキングに使用したコードを1、2行変更するだけで再び攻撃できるような、わずかな変更しかされなかったものもあった。
グーグルのセキュリティ研究者であるマディーン・ストーンの新たな調査によると、この一連の事件はサイバーセキュリティに存在する、より大きな問題を象徴している。ソフトウェア企業が欠陥や抜け穴の恒久的な封じ込めを怠っているため、ハッカーは、重大な問題を引き起こし得るゼロデイ脆弱性を、いともたやすく悪用し続けられるのだ。
「プロジェクト・ゼロ(Project Zero)」として知られるグーグルのセキュリティチームの一員であるストーンの調査は、広く普及しているクローム・ブラウザーでグーグル自身が抱えている問題も含め、現在発生している複数の事例に焦点を当てている。
ストーンは2月2日に、セキュリティカンファレンス「エニグマ(Enigma)」で、「私たちが目にした問題は、この産業全体に波及しています。不完全な修正パッチは、ハッカーがゼロデイを利用してユーザーを食い物にすることを容易にしているのです」と述べた。「現在の私たちの対応は、ハッカーに対して、新しい種類のバグをすべて見つけ出したり、まったく新しい悪用方法を開発したり、これまでに研究したことのないコードを目の当たりにしたりする必要性を迫るものではありません。それどころか、これまで見つかった多くの様々な脆弱性をハッカーが再利用するのを可能にしています」。
簡単に悪用されてしまう欠陥
プロジェクト・ゼロはグーグルのユニークな内部組織であり、時に物議を醸すチームでもある。このチームは、見つけるのが極めて困難なゼロデイの欠陥を探し出すことに専念している。このようなバグは、あらゆるタイプのハッカーが待ち …
- 人気の記事ランキング
-
- A tiny new open-source AI model performs as well as powerful big ones 720億パラメーターでも「GPT-4o超え」、Ai2のオープンモデル
- The coolest thing about smart glasses is not the AR. It’s the AI. ようやく物になったスマートグラス、真価はARではなくAIにある
- Geoffrey Hinton, AI pioneer and figurehead of doomerism, wins Nobel Prize in Physics ジェフリー・ヒントン、 ノーベル物理学賞を受賞
- Geoffrey Hinton tells us why he’s now scared of the tech he helped build ジェフリー・ヒントン独白 「深層学習の父」はなぜ、 AIを恐れているのか?