グーグル脅威インテリジェンスグループ(GTIG)は、昨年発生したゼロデー攻撃の半数が企業を狙ったものだったと6日に明らかにした。
GTIGはこの日、ゼロデー攻撃の環境で現れた構造的・技術的変化を分析した報告書を発刊した。ゼロデー攻撃は、まだパッチ(脆弱性を修正するセキュリティアップデート)が存在しないソフトウエアの脆弱性を突く手法である。脆弱性が公開されてからの経過が0日(Zero day)で、開発者が対応できる時間が0日という意味である。
報告書によると、昨年発生したゼロデー脆弱性攻撃90件のうち半数に近い48%がエンタープライズ(企業)技術を標的にしたことが分かった。攻撃者はエンドポイント検知・対応(EDR)技術が不足するセキュリティおよびネットワーキングツール、なかでもエッジデバイス(直接データを処理する機器)を集中的に攻撃した。エンタープライズ攻撃の増加傾向は2024年から始まり、昨年は脆弱性の件数と比率の双方で過去最高を記録した。
攻撃主体にも変化が捉えられた。過去には特定国家の支援を受けるハッカー組織がゼロデー攻撃を主導してきたが、昨年はGTIGが関連調査を開始して以来初めて、商用監視ソフトウエア製作企業(CSV)が主導したゼロデー攻撃が国家支援ハッカーグループの攻撃事例を上回った。報告書は「これはゼロデー攻撃手段へのアクセス権限がより広い対象へ拡大していることを示唆する」と説明した。
国家支援ハッカーグループの中では、中国と関係するサイバースパイグループの活動が最も活発だった。一方、北朝鮮ハッカーグループが主導したゼロデー攻撃は検知されなかった。
また一部のスパイグループが企業のソースコードや独自の開発文書といった知的財産(IP)を奪取した後、被害企業のソフトウエアや顧客を狙う新たなゼロデー兵器を開発し、長期的な脅威として浮上していると評価した。攻撃者が奪取したソースコードを分析して当該ソフトウエアの別のゼロデー脆弱性を見つけ、これを再び攻撃に活用する悪循環の構図を作っているという説明である。
GTIGはAIが今年、攻撃者と防御側の競争を加速させると展望した。報告書は「AIは偵察、脆弱性発見、攻撃コード開発の速度を高め、これは防御側がゼロデー攻撃を検知し対応するうえでより大きな圧迫として作用する」とし、「防御側はこれに対抗してAIエージェントを活用し、セキュリティ欠陥を先制的に見つけてパッチ作業を強化し、脆弱性が悪用される前にこれを無力化することに注力すると予想される」とした。