グーグルが指摘する、ソフトウェアの脆弱性が無くならない理由

2018年12月、グーグルの研究者たちは、マイクロソフトのインターネットエクスプローラーを狙ったハッカー集団を発見した。インターネットエクスプローラーの開発はその2年前に停止されていたとはいえ、非常に広く使用されているブラウザーである。つまり、このブラウザーをハッキングする方法を見つけることができれば、何十億台ものコンピューターのハッキングへの扉が開かれてしまう可能性があるのだ。

このハッカー集団は、「ゼロデイ脆弱性」と呼ばれる、未知の欠陥を探しており、それを見つけつつあった。

このハッカー集団の存在を認識して間もなく、研究者はインターネットエクスプローラーの脆弱性を狙うツールが出回っていることを発見した。マイクロソフトはパッチを発行して欠陥を修正したが、2019年9月に、別の似たような脆弱性が同じハッカー集団によって悪用されていることが分かった。

2019年11月と2020年1月、2020年4月にさらに同様の事例が見つかったため、同じ類のバグから少なくとも5つのゼロデイ脆弱性が短期間で悪用されていたことになる。マイクロソフトは複数回のセキュリティアップデートを実施したが、実際には対象となる脆弱性を修正できなかったものもあれば、ハッキングに使用したコードを1、2行変更するだけで再び攻撃できるような、わずかな変更しかされなかったものもあった。

グーグルのセキュリティ研究者であるマディーン・ストーンの新たな調査によると、この一連の事件はサイバーセキュリティに存在する、より大きな問題を象徴している。ソフトウェア企業が欠陥や抜け穴の恒久的な封じ込めを怠っているため、ハッカーは、重大な問題を引き起こし得るゼロデイ脆弱性を、いともたやすく悪用し続けられるのだ。

「プロジェクト・ゼロ（Project Zero）」として知られるグーグルのセキュリティチームの一員であるストーンの調査は、広く普及しているクローム・ブラウザーでグーグル自身が抱えている問題も含め、現在発生している複数の事例に焦点を当てている。

ストーンは2月2日に、セキュリティカンファレンス「エニグマ（Enigma）」で、「私たちが目にした問題は、この産業全体に波及しています。不完全な修正パッチは、ハッカーがゼロデイを利用してユーザーを食い物にすることを容易にしているのです」と述べた。「現在の私たちの対応は、ハッカーに対して、新しい種類のバグをすべて見つけ出したり、まったく新しい悪用方法を開発したり、これまでに研究したことのないコードを目の当たりにしたりする必要性を迫るものではありません。それどころか、これまで見つかった多くの様々な脆弱性をハッカーが再利用するのを可能にしています」。

簡単に悪用されてしまう欠陥

プロジェクト・ゼロはグーグルのユニークな内部組織であり、時に物議を醸すチームでもある。このチームは、見つけるのが極めて困難なゼロデイの欠陥を探し出すことに専念している。このようなバグは、あらゆるタイプのハッカーが待ち …

人気の記事ランキング

1. A new US phone network for Christians aims to block porn and gender-related content ポルノもLGBTも遮断、キリスト教徒向けMVNOが米国で登場
2. The problem with thinking you’re part Neanderthal あなたの中にいる 「ネアンデルタール人」は 本当に存在するのか？
3. Musk v. Altman week 1: Elon Musk says he was duped, warns AI could kill us all, and admits that xAI distills OpenAI’s models 「オープンAIを蒸留した」マスク対アルトマン第1週、法廷がざわめく
4. Will fusion power get cheap? Don’t count on it. 核融合は本当に安くなるのか？ 楽観論に「待った」をかける新研究