Googleの2024年ゼロデイレポートが企業セキュリティの盲点を明らかにする

Googleの2024年ゼロデイレポートが企業セキュリティの盲点を明らかにする

Googleの最新レポート、Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysisは、憂慮すべき現実を明らかにしています。ハッカーは、最も機密性の高いビジネスデータを扱うインフラストラクチャに焦点を移しています。2025年4月29日にGoogleの脅威インテリジェンスグループ(GTIG)によって発表されたこの分析は、2024年に悪用された75のゼロデイ脆弱性を追跡しました。企業システムを標的としたものがほぼ半数を占め、以前はブラウザや携帯電話が脅威の主な対象だったのに対し、劇的な変化を示しています。

Googleのゼロデイレポートが実際に発見したこと

ゼロデイ脆弱性とは、ベンダーがパッチを適用する前に攻撃者が悪用するソフトウェアの欠陥です。Googleの脅威インテリジェンスグループは、毎年これらのエクスプロイトを追跡し、自社の研究と侵害調査、信頼できる第三者の報告を組み合わせています。2024年の分析は、サイバーセキュリティにおける進展と新たな課題の両方を明らかにしています。

生の数字は物語の一部を語っています。2024年には75のゼロデイがあり、2023年の98から減少しましたが、2022年の63からは増加しています。より明らかになったのは、これらの攻撃がどこで発生したかです。企業技術は33のエクスプロイトに直面し、全体の44%を占め、前年の37%と比較して増加しています。企業システム内では、セキュリティおよびネットワーク製品が大部分を占め、20の脆弱性、つまり企業を標的としたゼロデイの60%以上を占めています。

最も注目すべきは、18の異なる企業ベンダーが標的にされ、2024年にゼロデイ攻撃を受けたほぼすべてのベンダーを代表していることです。従来のターゲットであるブラウザやモバイルデバイスは大幅に減少し、ブラウザのエクスプロイトは17から11に、モバイルは17から9に減少しました。

なぜファイル転送とセキュリティツールが主要なターゲットになったのか

レポートは、攻撃者が企業インフラストラクチャに転向した特定の理由を特定しています。セキュリティアプライアンス、VPN、およびマネージドファイル転送(MFT)プラットフォームは、攻撃者に独自の利点を提供します。

単一ポイントの妥協: 消費者デバイスが複雑なエクスプロイトチェーンを必要とするのとは異なり、多くの企業システムは1つの脆弱性で完全に妥協される可能性があります。レポートは、これらの製品が現代のブラウザやオペレーティングシステムに見られる層状の防御を欠いていることを指摘しています。

特権アクセス: これらのシステムは通常、管理者権限で実行され、複数のネットワークセグメントに接続しているため、初期の妥協後に迅速な横方向の移動が可能です。

監視の制限: 重要な発見として、多くのセキュリティおよびネットワークアプライアンスは、エンドポイント検出および応答(EDR)ツールの範囲外で動作し、攻撃者が悪用する可視性のギャップを生み出しています。

高価値データ: ファイル転送システム、メールサーバー、およびコラボレーションプラットフォームは、金融記録、健康情報、知的財産を含む規制データを定期的に処理します。

コンプライアンスを脅かす重大な脆弱性

2024年のいくつかのエクスプロイトは、データプライバシー規制、例えばGDPRHIPAA、およびCMMC 2.0に従う組織に直接影響を与えます。

CVE-2024-55956 (Cleo MFTプラットフォーム): 疑われるFIN11クラスターがこの脆弱性をデータ窃盗の恐喝に利用しました。レポートは、FIN11または関連グループがファイル転送製品を標的にしたのは「過去4年のうち3年(2021年、2023年、2024年)」であることを強調し、これらのシステムに対する持続的な焦点を示しています。

クロスサイトスクリプティング(XSS)攻撃: 6つのXSS脆弱性が、メールサーバーや企業ソフトウェアを含むさまざまな製品を標的にしました。これにより、許可されていないスクリプトの実行と潜在的なデータ流出が可能になり、明確なコンプライアンスリスクを生み出します。

WebKitクッキー収集: レポートは、ウクライナ政府のウェブサイト上の悪意のあるJavaScriptがブラウザクッキーを収集した洗練された攻撃を詳述しています。攻撃者は特にlogin.microsoftonline.comの資格情報にアクセスすることを目的としており、Microsoft 365サービス(OutlookやSharePointなど)を危険にさらす可能性があります。

コマンドインジェクション脆弱性: レポートによれば、8つのコマンドインジェクションの欠陥が「ほぼ完全にネットワークおよびセキュリティソフトウェアとアプライアンスを標的にしている」とされています。これにより、攻撃者はシステム権限で任意のコマンドを実行できます。

検出のギャップ: 伝統的なセキュリティが不足するところ

Googleの分析は基本的な問題を強調しています。最も機密性の高いデータを扱うシステムは、しばしば最も可視性が低いということです。レポートは明確に「エンドポイント検出および応答(EDR)ツールは通常、これらの製品で動作するように装備されていない」と述べています。

これにより、次のような連鎖的なセキュリティの課題が生じます。

  • セキュリティチームはファイル転送やコンテンツ交換のリアルタイムの可視性を欠いています
  • 適切なログがないと、行動異常の検出が不可能になります
  • 不十分なフォレンジックデータにより、インシデント対応が妨げられます
  • コンプライアンス監査に必要な文書が不足しています

レポートは、これらの盲点が特に危険であると指摘しています。影響を受けたシステムは「単独でリモートコード実行や特権昇格を達成できる」ため、エンドユーザーデバイスに通常必要な複雑なエクスプロイトチェーンを必要としません。

レポートからの注目すべき攻撃

特定のエクスプロイトを理解することは、進化する脅威の状況を示すのに役立ちます。

ウクライナ政府ウェブサイト攻撃: GTIGの研究者は、ウクライナの外交ウェブサイトのContact Form 7プラグインファイルに悪意のあるJavaScriptが注入されたことを発見しました。これはWordPressプラグイン自体の脆弱性ではなく、訪問者のクッキーを収集するための標的型の妥協でした。コードは特にIntelハードウェア上のMacOSユーザーを標的にしており、洗練されたターゲティングを示しています。

CIGARグループの二重エクスプロイト: レポートは、CIGARグループ(RomComとしても知られる)がCVE-2024-9680(Firefoxの脆弱性)とCVE-2024-49039(Windowsの特権昇格の欠陥)をどのように組み合わせて使用したかを詳述しています。このグループは金融犯罪とロシア政府のスパイ活動の両方を行っており、ゼロデイが複数の脅威アクターの目的にどのように役立つかを示しています。

北朝鮮の革新: 初めて、北朝鮮のアクターが中国支援のグループと同等の5つのゼロデイを達成しました。レポートは、これらのアクターが「伝統的なスパイ活動と体制を資金調達する試みを混ぜ合わせている」と述べ、悪意のある広告がゼロクリック実行を引き起こす洗練された技術を使用していることを示しています。

現代のゼロデイ脅威に対抗する防御の構築

レポートの発見に基づいて、組織は企業インフラストラクチャの脆弱性に特に対応する多層防御が必要です。

セキュリティ監視の拡張: MFTSFTP、およびセキュリティアプライアンスをSIEMおよびセキュリティオペレーションワークフローに統合します。レポートは、これらのシステムが従来のエンドポイントと同じ監視が必要であることを強調しています。

ゼロトラストアーキテクチャの実装: すべてのファイル共有とコンテンツ移動に最小特権の原則を適用します。妥協を想定し、特に管理者権限を持つシステムのすべてのトランザクションを検証します。

安全な開発の優先: レポートは、コマンドインジェクション、XSS、および使用後の解放バグが2024年のエクスプロイトを支配していることを特定しています。これらはすべて安全なコーディングによって防止可能です。定期的なコードレビューと現代の開発プラクティスが不可欠です。

ベンダーのセキュリティ評価: 18の企業ベンダーが標的にされたため、ベンダーが脆弱性にどれだけ迅速に対応するかを評価します。レポートは、「パッチはこれらのセキュリティ露出が最初から防止される可能性を証明している」と述べています。

統合プラットフォームの検討: Kiteworksのプライベートデータネットワークのようなソリューションは、メール、ファイル転送、およびAPIセキュリティを統合し、複数のポイントソリューションを管理するよりも複雑さを軽減し、可視性を向上させることができます。

あなたのセキュリティ戦略にとって何を意味するか

Googleのレポートは明確なメッセージを伝えています。機密データを交換するために使用するインフラストラクチャが主要な攻撃ベクトルになっています。ゼロデイの44%が企業システムを標的にし、そのうち60%以上がセキュリティおよびネットワーク製品を攻撃しているため、従来のセキュリティモデルは更新が必要です。

セキュリティリーダーにとっての重要なポイント:

  1. 帰属は依然として困難: GTIGは75の脆弱性のうち34しか特定のアクターに帰属できず、多くの攻撃が帰属されていないことを思い出させます。
  2. ベンダーの改善が効果を発揮: ブラウザとモバイルのエクスプロイトは大幅に減少し、これらの分野へのセキュリティ投資が成果を上げていることを示しています。
  3. 新しいベンダーはより大きなリスクに直面: レポートは、小規模な企業ベンダーが「ビッグテック」企業のようにゼロデイに対処するためのリソースと経験を欠いている可能性があることを指摘しています。
  4. 攻撃者にとっての持続性が報われる: FIN11のようなグループは同じタイプのインフラストラクチャを繰り返し標的にしており、信頼できる攻撃経路を見つけたことを示唆しています。

PCI DSS、HIPAA、GDPR、またはCMMCの要件に基づいて規制データを扱う組織にとって、これらの発見は即時の注意を必要とします。最も機密性の高い情報を処理するシステム—ファイル転送、メール、ウェブフォーム—はもはや受動的なインフラストラクチャとして扱うことはできません。それらは包括的なセキュリティ戦略を必要とするアクティブな戦場です。

よくある質問

Googleの脅威インテリジェンスグループは、2024年に野生で悪用された75のゼロデイ脆弱性を特定し、そのうち33が企業技術を標的にしました。

セキュリティおよびネットワーク製品が最も高いリスクに直面し、20のゼロデイ—企業を標的にした脆弱性の60%以上を占めました。ファイル転送システム、VPN、およびセキュリティアプライアンスが特に標的にされました。

企業システムは、完全な妥協のために単一の脆弱性を必要とすることが多く、高い特権で動作し、貴重なデータを処理し、EDR監視が不足していることが多いため、効率的なターゲットとなります。

すべてのデータ交換システムを含むセキュリティ監視を拡張し、ゼロトラストの原則を実装し、安全なコーディングプラクティスを確保し、ベンダーの脆弱性への対応を評価し、より良い可視性のために統合されたセキュリティプラットフォームを検討します。

レポートは特に、EDRツールが通常、セキュリティおよびネットワークアプライアンスを監視できないことを指摘しており、追加のセキュリティ対策が必要な危険な盲点を生み出しています。

関連リソース

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Content
Share
Tweet
Share
Explore Kiteworks