ゼロデイ攻撃､餌食は｢アップデート｣甘く見る人 ソフトウェアの脆弱性突くサイバー攻撃の1つ

具体的には、IDS/IPSのような悪意のある通信を遮断する高度なファイアウォール製品や、EDR（Endpoint Detection and Response）というシステム・ネットワーク・プログラムの動作などを総合的に監視して脅威・不正検知を支援してくれるシステムなどがある。

コストはかかるが、専門家による脆弱性診断、ペネトレーションテストで、システム全体の脆弱性や穴（セキュリティホール）を発見する手法もある。

脆弱性診断とは、システムを構成するOSやソフトウェアの種類、バージョンを調べて、公開された修正プログラムが適用されているか、対策済みかどうかを見て脆弱性を発見する。

一方、ペネトレーションテストは、専門家が外部から実際に稼働しているシステムにアクセスして、侵入可能かどうか、脆弱性が存在しないかを洗い出す検査手法だ。専門家は、実際の攻撃者が使うツールや手法によってサイトやシステムに疑似攻撃を試みる。侵入やアクセスが成功したら、その箇所や問題点とともに対策を考えるというものだ。

変容するゼロデイ攻撃

前述したTAGのレポートでは、ゼロデイ攻撃の増加・変化として、これまで一般的だった金銭目的以外の攻撃が増えている点を指摘している。背景にスパイウェアを販売する民間企業（商用監視ベンダー：CSV）があるという。

スパイウェアとは、スマートフォンなどに忍び込ませる監視・諜報アプリだ。通常、公式ストアにアップロードされるアプリはGoogleやアップルの審査を受ける必要があり、不正なアプリは排除される。

だが、Googleによれば一部の民間企業が、政府や国家機関を相手にした新しいビジネスを拡大させているという。スマートフォンのデータを盗み出したり、カメラやマイクなどを遠隔操作する部分に、OSなどソフトウェアの脆弱性を利用しているとレポートは分析している。なお、ソフトウェアに脆弱性がなくても、アプリのカメラアクセスやマイクアクセスを許可していると遠隔操作されてしまう。

顧客は政府や軍になるので大きな市場ではないが、スマートフォンにエクスプロイトと呼ばれるマルウェアをインストールするスパイウェアを販売する企業（CSV）が増えてきている。

これまでスパイウェアといえばイスラエルのNSOが有名だったが、2024年には中国のスパイウェアベンダーの内部資料が暴露され、ウイグルでの監視にスパイウェアが利用されていたことなどが確認されている。

各国政府がスパイウェアを活用するのは、犯罪捜査やテロ対策のためだ。だから一般の人は対象外だが、政府関係者、軍人、政治家、ジャーナリスト、科学者・研究者などは注意が必要だ。テロリスト以外では、中国・ロシアなど体制主義国家のジャーナリストや学生、研究者は監視対象と考えたほうがいい。とくに海外在住の企業人や研究者は要注意だ。

Googleやアップルは、スマートフォンのメモリを直接保護するモードを用意している。有効にする機能の名前は、iPhoneではロックダウンモードという。Pixel 8ではMTEという機能がこれに相当する。上記に該当するユーザーは、設定をオンにせよ（使える機能は制限される）とGoogleはアナウンスしている。

東洋経済Tech×サイバーセキュリティのトップページはこちら

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。