KADOKAWA Technology Review
×
グーグルが指摘する、ソフトウェアの脆弱性が無くならない理由
Lewis Ngugi on Unsplash
コンピューティング Insider Online限定
Google says it’s too easy for hackers to find new security flaws

グーグルが指摘する、ソフトウェアの脆弱性が無くならない理由

ソフトウェアに脆弱性が発見されるとベンダーは修正版や修正用パッチを出すが、限定的な対応しかしておらず、類似した別の脆弱性が放置されていることも少なくない。ベンダーはより深いレベルで脆弱性を根絶することを目指すべきだ。 by Patrick Howell O'Neill2021.02.08

2018年12月、グーグルの研究者たちは、マイクロソフトのインターネットエクスプローラーを狙ったハッカー集団を発見した。インターネットエクスプローラーの開発はその2年前に停止されていたとはいえ、非常に広く使用されているブラウザーである。つまり、このブラウザーをハッキングする方法を見つけることができれば、何十億台ものコンピューターのハッキングへの扉が開かれてしまう可能性があるのだ。

このハッカー集団は、「ゼロデイ脆弱性」と呼ばれる、未知の欠陥を探しており、それを見つけつつあった。

このハッカー集団の存在を認識して間もなく、研究者はインターネットエクスプローラーの脆弱性を狙うツールが出回っていることを発見した。マイクロソフトはパッチを発行して欠陥を修正したが、2019年9月に、別の似たような脆弱性が同じハッカー集団によって悪用されていることが分かった。

2019年11月と2020年1月、2020年4月にさらに同様の事例が見つかったため、同じ類のバグから少なくとも5つのゼロデイ脆弱性が短期間で悪用されていたことになる。マイクロソフトは複数回のセキュリティアップデートを実施したが、実際には対象となる脆弱性を修正できなかったものもあれば、ハッキングに使用したコードを1、2行変更するだけで再び攻撃できるような、わずかな変更しかされなかったものもあった。

グーグルのセキュリティ研究者であるマディーン・ストーンの新たな調査によると、この一連の事件はサイバーセキュリティに存在する、より大きな問題を象徴している。ソフトウェア企業が欠陥や抜け穴の恒久的な封じ込めを怠っているため、ハッカーは、重大な問題を引き起こし得るゼロデイ脆弱性を、いともたやすく悪用し続けられるのだ。

「プロジェクト・ゼロ(Project Zero)」として知られるグーグルのセキュリティチームの一員であるストーンの調査は、広く普及しているクローム・ブラウザーでグーグル自身が抱えている問題も含め、現在発生している複数の事例に焦点を当てている。

ストーンは2月2日に、セキュリティカンファレンス「エニグマ(Enigma)」で、「私たちが目にした問題は、この産業全体に波及しています。不完全な修正パッチは、ハッカーがゼロデイを利用してユーザーを食い物にすることを容易にしているのです」と述べた。「現在の私たちの対応は、ハッカーに対して、新しい種類のバグをすべて見つけ出したり、まったく新しい悪用方法を開発したり、これまでに研究したことのないコードを目の当たりにしたりする必要性を迫るものではありません。それどころか、これまで見つかった多くの様々な脆弱性をハッカーが再利用するのを可能にしています」。

簡単に悪用されてしまう欠陥

プロジェクト・ゼロはグーグルのユニークな内部組織であり、時に物議を醸すチームでもある。このチームは、見つけるのが極めて困難なゼロデイの欠陥を探し出すことに専念している。このようなバグは、あらゆるタイプのハッカーが待ち …

こちらは有料会員限定の記事です。
有料会員になると制限なしにご利用いただけます。
有料会員にはメリットがいっぱい!
  1. 毎月120本以上更新されるオリジナル記事で、人工知能から遺伝子療法まで、先端テクノロジーの最新動向がわかる。
  2. オリジナル記事をテーマ別に再構成したPDFファイル「eムック」を毎月配信。
    重要テーマが押さえられる。
  3. 各分野のキーパーソンを招いたトークイベント、関連セミナーに優待価格でご招待。
人気の記事ランキング
  1. A tiny new open-source AI model performs as well as powerful big ones 720億パラメーターでも「GPT-4o超え」、Ai2のオープンモデル
  2. The coolest thing about smart glasses is not the AR. It’s the AI. ようやく物になったスマートグラス、真価はARではなくAIにある
  3. Geoffrey Hinton, AI pioneer and figurehead of doomerism, wins Nobel Prize in Physics ジェフリー・ヒントン、 ノーベル物理学賞を受賞
  4. Geoffrey Hinton tells us why he’s now scared of the tech he helped build ジェフリー・ヒントン独白 「深層学習の父」はなぜ、 AIを恐れているのか?
日本発「世界を変える」U35イノベーター

MITテクノロジーレビューが20年以上にわたって開催しているグローバル・アワード「Innovators Under 35 」。2024年受賞者は11月発表予定です。 世界的な課題解決に取り組み、向こう数十年間の未来を形作る若きイノベーターの発掘を目的とするアワードの日本版の最新情報を随時発信中。

特集ページへ
MITTRが選んだ 世界を変える10大技術 2024年版

「ブレークスルー・テクノロジー10」は、人工知能、生物工学、気候変動、コンピューティングなどの分野における重要な技術的進歩を評価するMITテクノロジーレビューの年次企画だ。2024年に注目すべき10のテクノロジーを紹介しよう。

特集ページへ
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る