「脆弱ぜいじゃく性せい」の悪用あくようが深刻しんこく化か　“あのブラウザ”や“あのGPU”も標的ひょうてきに：「スパイウェア」「脆弱ぜいじゃく性せい悪用あくよう」がもたらす脅威きょうい【後編こうへん】

　2022年ねん12月にTAGが観測かんそくした一連いちれんの攻撃こうげき（攻撃こうげきキャンペーン）は、Samsung ElectronicsのWebブラウザ「Samsung Internet Browser」（Galaxyブラウザ）の脆弱ぜいじゃく性せいを悪用あくようし、アラブ首長しゅちょう国こく連邦れんぽう（UAE）内ないのデバイスを標的ひょうてきとしていた。Googleのセキュリティエンジニアであり、TAGのメンバーであるクレメント・レシーニュ氏しによると、攻撃こうげき者しゃはプログラミング言語げんご「C++」で書かかれたスパイウェア群ぐんを使つかい、標的ひょうてきデバイスのデータの解読かいどくと盗難とうなんを目指めざしていた。

　攻撃こうげき者しゃがこの攻撃こうげきキャンペーンで使用しようした脆弱ぜいじゃく性せいの一ひとつが「CVE-2022-22706」だ。CVE-2022-22706は、半導体はんどうたい設計せっけい大手おおてArmのGPU（画像がぞう処理しょりプロセッサ）「Mali」のドライバの脆弱ぜいじゃく性せいで、標的ひょうてきデバイスへの不正ふせいアクセスを可能かのうにする。CVE-2022-22706についてはGoogleが2022年ねん12月にArmに報告ほうこくし、2023年ねん1月がつにArmが修正しゅうせいしたという。

　GoogleのWebブラウザ「Chrome」に存在そんざいしていた脆弱ぜいじゃく性せい「CVE-2022-3038」も、この攻撃こうげきキャンペーンで攻撃こうげき者しゃが使用しようした。TAGによると、Googleは2022年ねん8月がつにCVE-2022-3038を修正しゅうせいしたものの、標的ひょうてきデバイスではパッチ（修正しゅうせいプログラム）が適用てきようされていなかった。

　TAGは2022年ねん11月、イタリアやカザフスタン、マレーシアで、AndroidとiOSのデバイスを狙ねらった攻撃こうげきを観測かんそくした。この攻撃こうげきで、攻撃こうげき者しゃが積極せっきょく的てきに悪用あくようした脆弱ぜいじゃく性せいは以下いかの通とおりだという。

　TAGは脆弱ぜいじゃく性せい対策たいさくにおいて、ユーザー企業きぎょうによるパッチ適用てきようの重要じゅうよう性せいを強調きょうちょうする。「パッチ適用てきようは、脆弱ぜいじゃく性せい悪用あくよう攻撃こうげきに対抗たいこうするための最もっとも有効ゆうこうな方法ほうほうだ」とレシーニュ氏しは述のべる。