Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」 2022年に41件が悪用される 前年比では大きく減少 2023年08月02日 08時00分 公開 [＠IT]

 

◇ 

• ゼロクリック攻撃やブラウザの新しい脆弱性緩和策が、ブラウザのゼロデイ脆弱性の悪用を減少させている。多くの攻撃者が、ユーザー側の操作を必要としないゼロクリック攻撃に移行しており、この攻撃は通常、ブラウザ以外のコンポーネントを標的とする。全ての主要なブラウザが、脆弱性の悪用を困難にする新たな防御策を実装していることが、こうした標的の変更に影響している可能性がある

◇

ゼロクリック攻撃ってなんだろう？

ゼロクリック攻撃とは、ユーザーが何かをクリックしたり入力したりする必要がない攻撃のことです¹。メールやメッセージなどに添付された悪意のあるファイルやリンクを自動的に開くことで、マルウェアを感染させたり、データを盗んだりすることができます²³。ゼロクリック攻撃は未知の脆弱性を利用したゼロデイ攻撃と組み合わせられることが多く、iPhoneなどの堅牢な端末でも感染する恐れがあります¹³。最近では、Pegasusというスパイウェアを使ったゼロクリック攻撃が国際問題になりました²⁴。このスパイウェアは、WhatsAppなどのメッセージアプリでメッセージを受信するだけでも感染し、通話やテキストメッセージなどの情報を外部に送信することができます³。ゼロクリック攻撃はユーザーの気づきにくい攻撃であり、情報セキュリティに関する新たな脅威です。

◇ 

結局、OSやセキュリティソフトの最新化を怠らないのが現場でできる対策みたいだ。

しかしOSのアップデートは評価が大変で下手にやって業務ができなくなる可能性もある。

このコストはなかなか予算計上されない。

どうするのが正解なのだろう？

◇

ImageCreator

◇

Amazon