GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ(以下、イエラエ)は、2021年から2024年までの間にソフトウェアやハードウェアの製品開発元に報告したゼロデイ(0day)の脆弱性件数の累計が171件に上ると発表しました。
ゼロデイ脆弱性とは、OSやソフトウェアに未発見の欠陥(脆弱性)のことです。メーカーやサービス提供側が欠陥の存在を認識していないため、防御策やパッチ(修正プログラム)が存在しておらず、攻撃者は防御策の発表やパッチの提供の間に攻撃を行うことが可能です。メーカーやサービス提供側が有効な対策を採るために使える時間が1日もない(=0日)ことに由来します。
各年の内訳は、計測を開始した2021年が14件、2022年が15件、2023年が72件、2024年が70件です。この数値はイエラエに所属するホワイトハッカーが取得した共通脆弱性識別子であるCVE(※)の報告日と件数に基づいて集計しています。
※CVE(Common Vulnerabilities and Exposures)とは、米国政府の支援を受けた非営利団体のMITREまたは、MITREから認定を受けた機関が採番する、脆弱性の個別の識別番号
以下は、イエラエに所属するホワイトハッカーがこれまでに見つけたゼロデイの脆弱性の一例です。中には攻撃者がシステムの最高権限を獲得する可能性や、サイバー攻撃の踏み台に利用される可能性がある脆弱性もあります。ホワイトハッカーによる脆弱性の早期発見と開発者の速やかな修正対応により、脆弱性を悪用したサイバー攻撃被害を未然に防ぐことができました。
2023年1月10日公開:CVE-2023-21726
・製品名やバージョン:Windows 7やWindows Server 2008以降のバージョンのOS
・発生しうる影響:悪意のある攻撃者がシステム特権を獲得するおそれ
2023年1月10日公開:CVE-2023-21777
・製品名やバージョン:Azure App Service on Azure Stack Hub
・発生しうる影響:悪意のある攻撃者が他のテナントのアプリケーションやコンテンツを操作できるようになるおそれ
2024年1月30日公開:CVE-2024-23784
・製品名やバージョン:製品名/クラウド連携エネルギーコントローラ(機器連携コントローラ)、機種名/JH-RVB1/JH-RV11、バージョン/Ver.B0.1.9.1以前
・発生しうる影響:製品の設定情報や電力情報等が漏洩、または製品の設定情報を不正に変更されるおそれ 製品を踏み台にしたサイバー攻撃の起点になるおそれ
2024年12月16日公開:CVE-2024-47484
・製品名やバージョン:Dell Avamar バージョン 19.x
・発生しうる影響:認証されていないリモートの攻撃者が脆弱性を悪用しコマンドを実行するおそれ
ゼロデイ脆弱性とは、OSやソフトウェアに未発見の欠陥(脆弱性)のことです。メーカーやサービス提供側が欠陥の存在を認識していないため、防御策やパッチ(修正プログラム)が存在しておらず、攻撃者は防御策の発表やパッチの提供の間に攻撃を行うことが可能です。メーカーやサービス提供側が有効な対策を採るために使える時間が1日もない(=0日)ことに由来します。
各年の内訳は、計測を開始した2021年が14件、2022年が15件、2023年が72件、2024年が70件です。この数値はイエラエに所属するホワイトハッカーが取得した共通脆弱性識別子であるCVE(※)の報告日と件数に基づいて集計しています。
※CVE(Common Vulnerabilities and Exposures)とは、米国政府の支援を受けた非営利団体のMITREまたは、MITREから認定を受けた機関が採番する、脆弱性の個別の識別番号
以下は、イエラエに所属するホワイトハッカーがこれまでに見つけたゼロデイの脆弱性の一例です。中には攻撃者がシステムの最高権限を獲得する可能性や、サイバー攻撃の踏み台に利用される可能性がある脆弱性もあります。ホワイトハッカーによる脆弱性の早期発見と開発者の速やかな修正対応により、脆弱性を悪用したサイバー攻撃被害を未然に防ぐことができました。
2023年1月10日公開:CVE-2023-21726
・製品名やバージョン:Windows 7やWindows Server 2008以降のバージョンのOS
・発生しうる影響:悪意のある攻撃者がシステム特権を獲得するおそれ
2023年1月10日公開:CVE-2023-21777
・製品名やバージョン:Azure App Service on Azure Stack Hub
・発生しうる影響:悪意のある攻撃者が他のテナントのアプリケーションやコンテンツを操作できるようになるおそれ
2024年1月30日公開:CVE-2024-23784
・製品名やバージョン:製品名/クラウド連携エネルギーコントローラ(機器連携コントローラ)、機種名/JH-RVB1/JH-RV11、バージョン/Ver.B0.1.9.1以前
・発生しうる影響:製品の設定情報や電力情報等が漏洩、または製品の設定情報を不正に変更されるおそれ 製品を踏み台にしたサイバー攻撃の起点になるおそれ
2024年12月16日公開:CVE-2024-47484
・製品名やバージョン:Dell Avamar バージョン 19.x
・発生しうる影響:認証されていないリモートの攻撃者が脆弱性を悪用しコマンドを実行するおそれ
攻撃者よりも早く脆弱性を見つけるのがホワイトハッカーの使命
ゼロデイ攻撃は、セキュリティソフトや防御システムがその脆弱性を認識していないため検出や防御が難しく、また攻撃者は比較的容易にシステムに侵入し、データを盗む、破壊するなどの行為を行うことができます。特に重要なインフラや機密情報を狙った攻撃では甚大な被害をもたらす可能性があり、サイバーセキュリティにおいて非常に大きな脅威です。
ゼロデイ脆弱性が発見された場合、開発者は速やかに修正パッチを作成する必要がありますが、その間に多くのシステムがゼロデイ攻撃の危険にさらされます。
イエラエは、企業向けにペネトレーションテストを行い、脆弱性を早期発見・修正しています。またホワイトハッカーとしての使命感から、国内外のハッキングコンテストに参加し、技術を磨き続けており、その成果が顧客のサービスや製品の新規の脆弱性を見つけることにつながっています。
脆弱性調査・研究チーム「GMOイエラエ」は、ドローンの制御や通信の技術を競う「Hack the DRONE 2024決勝」で世界1位を獲得するなど、数々のコンテストで世界1位の実績を挙げています。
イエラエのホワイトハッカーが発見したゼロデイ脆弱性は、それらのOSやサービスのユーザーにとって、安全性向上の安心感をもたらします。企業はいち早くセキュリティパッチを当てられるため、リスクを軽減し、安心して利用できる環境が整えられます。自社サーバーの脆弱性診断やセキュリティコンサルティングは、こうした技術力を持つ企業に依頼することで、大きな安心感が得られるのではないでしょうか。
ゼロデイ脆弱性が発見された場合、開発者は速やかに修正パッチを作成する必要がありますが、その間に多くのシステムがゼロデイ攻撃の危険にさらされます。
イエラエは、企業向けにペネトレーションテストを行い、脆弱性を早期発見・修正しています。またホワイトハッカーとしての使命感から、国内外のハッキングコンテストに参加し、技術を磨き続けており、その成果が顧客のサービスや製品の新規の脆弱性を見つけることにつながっています。
脆弱性調査・研究チーム「GMOイエラエ」は、ドローンの制御や通信の技術を競う「Hack the DRONE 2024決勝」で世界1位を獲得するなど、数々のコンテストで世界1位の実績を挙げています。
イエラエのホワイトハッカーが発見したゼロデイ脆弱性は、それらのOSやサービスのユーザーにとって、安全性向上の安心感をもたらします。企業はいち早くセキュリティパッチを当てられるため、リスクを軽減し、安心して利用できる環境が整えられます。自社サーバーの脆弱性診断やセキュリティコンサルティングは、こうした技術力を持つ企業に依頼することで、大きな安心感が得られるのではないでしょうか。

安蔵 靖志
Techジャーナリスト/家電エバンジェリスト
家電製品協会認定 家電製品総合アドバイザー(プラチナグレード)、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ~ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。