ニュース
GMOサイバーセキュリティ byイエラエ、2024年12月までに合計171件の0day(ゼロデイ)の脆弱性を発見
GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)が、2021年から2024年までの間に0day(ゼロデイ)の脆弱性(※1)をソフトウェアやハードウェアの製品開発元に報告した件数の累計は171件に上りました。内訳としては計測を開始した2021年に14件、2022年に15件、2023年に72件、2024年に70件報告しています。なおこの数値はGMOサイバーセキュリティ byイエラエに所属するホワイトハッカーが取得した共通脆弱性識別子CVE(Common Vulnerabilities and Exposures 以下、CVE)(※2)の報告日と件数に基づき集計しています。
(※1) アプリケーションやオペレーティングシステム内に存在する未発見の欠陥のこと。防御策やパッチが存在しないため、有効な対策をとるために使える時間が1日もない(=0日)ことに由来する。
(※2) 米国政府の支援を受けた非営利団体の「MITRE社」または「MITRE社」から認定を受けた機関が採番する、脆弱性の個別の識別番号のこと。
【これまでに見つけた0dayの脆弱性の一例】(https://gmo-cybersecurity.com/cve/)
以下はこれまでにGMOサイバーセキュリティ byイエラエに所属するホワイトハッカーが見つけた0dayの脆弱性の一例です。中には攻撃者がシステムの最高権限を獲得する可能性や、サイバー攻撃の踏み台に利用される可能性がある脆弱性もあります。ホワイトハッカーによる脆弱性の早期発見と開発者の速やかな修正対応により、脆弱性を悪用したサイバー攻撃被害を未然に防ぐことができました。
| 公開日 | 2023年1月10日 |
| CVE | CVE-2023-21726 |
| 製品名やバージョン | Windows 7やWindows Server 2008以降のバージョンのOS |
| 発生しうる影響 | 悪意のある攻撃者がシステム特権を獲得するおそれ |
| 発見者 | ルスラン サイフィエフ、デニス ファウストヴ |
| 製品開発元の公開情報 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21726 |
| 公開日 | 2024年1月30日 |
| CVE | CVE-2024-23784 |
| 製品名やバージョン | 製品名:クラウド連携エネルギーコントローラ(機器連携コントローラ) 機種名:JH-RVB1 /JH-RV11 バージョン:Ver.B0.1.9.1以前 |
| 発生しうる影響 | 製品の設定情報や電力情報等の漏洩する、または製品の設定情報を不正に変更されるおそれ 製品を踏み台にしたサイバー攻撃の起点になるおそれ |
| 発見者 | 馬場 将次 |
| 製品開発元の公開情報 | https://jp.sharp/support/taiyo/info/JVNVU94591337_jp.pdf |
| 公開日 | 2023年2月14日 |
| CVE | CVE-2023-21777 |
| 製品名やバージョン | Azure App Service on Azure Stack Hub |
| 発生しうる影響 | 悪意のある攻撃者が他のテナントのアプリケーションやコンテンツを操作できるようになるおそれ |
| 発見者 | ルスラン サイフィエフ、デニス ファウストヴ |
| 製品開発元の公開情報 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21777 |
| 公開日 | 2024年12月16日 |
| CVE | CVE-2024-47484 |
| 製品名やバージョン | Dell Avamar バージョン 19.x |
| 発生しうる影響 | 認証されていないリモートの攻撃者が脆弱性を悪用しコマンドを実行するおそれ |
| 発見者 | 川根 健太郎 |
| 製品開発元の公開情報 | https://www.dell.com/support/kbdoc/ja-jp/000258636/dsa-2024-489-security-update-for-dell-avamar-and-dell-avamar-virtual-edition-security-update-for-multiple-vulnerabilities |
【0day攻撃の脅威】
ソフトウェアやハードウェアの脆弱性が発見され、その脆弱性に対する修正パッチが提供される前に、その脆弱性を悪用する攻撃のことを0day(ゼロデイ)攻撃といいます。0day攻撃はセキュリティソフトや防御システムがその脆弱性を認識していないため検出や防御が難しく、攻撃者は比較的容易にシステムに侵入し、データを盗む、破壊するなどの行為を行うことができます。
特に重要なインフラや機密情報を狙った攻撃では甚大な被害をもたらす可能性があり、サイバーセキュリティにおいて非常に大きな脅威です。
0day攻撃が発生した場合、開発者は速やかに修正パッチを作成する必要がありますが、その間に多くのシステムがサイバー攻撃の危険にさらされます。
【攻撃者よりも早く脆弱性を見つけるのがホワイトハッカーの使命】
GMOサイバーセキュリティ byイエラエは以前から、企業を狙う(疑似的な)攻撃者としてシステムのサイバー攻撃への耐性を検証するテスト「ペネトレーションテスト(侵入テスト)」を得意としてきました。
2024年に報告した新規の脆弱性の多くが企業から依頼を受けて調査した際に見つかったものであり、現在それらの脆弱性は修正されています。
攻撃者に悪用される前に脆弱性を見つけ出し、開発者に速やかに報告することは「ホワイトハッカーの使命」と捉えています。誰も見つけたことがない脆弱性を見つけるためにはセキュリティにおける専門知識の蓄積と技術的鍛錬、発想力が求められます。
GMOサイバーセキュリティ byイエラエでは脆弱性調査・研究チーム「GMOイエラエ」として国内外のハッキングコンテストに積極的に参加し、実践的にハッキング技術を磨いてきました。その成果がお客様のサービスや製品の新規の脆弱性を見つけることに繋がっています。
■脆弱性調査・研究チーム「GMOイエラエ」の実績の一例(2024年出場大会)
| 2024年04月 | 国内1位 / 世界2位 | LINE CTF 2024 |
| 2024年05月 | 国内1位 / 世界2位 | HTB Business CTF 2024 |
| 2024年08月 | 世界1位 | DEF CON 32 Cloud Village CTF ※2年連続優勝 |
| 2024年10月 | 国内1位 / 世界2位 | Automotive CTF 2024 グローバル決勝 |
| 2024年11月 | 世界1位 | Hack the DRONE 2024決勝 |
| 2024年11月 | 世界3位 | HITCON CYBER RANGE |
【GMOサイバーセキュリティ byイエラエについて】
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。
