2025年2月5日、GMOサイバーセキュリティ byイエラエは、2021年から2024年までの間に0day(ゼロデイ)の脆弱性をソフトウェアやハードウェアの製品開発元に報告した件数を発表した。
件数の累計は、171件だったという。内訳は、計測を開始した2021年に14件、2022年に15件、2023年に72件、2024年に70件報告しているとのことだ。なおこの数値は、同社に所属するホワイトハッカーが取得した、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)の報告日と件数に基づき集計しているという。
これまでに見つけた0dayの脆弱性の一例は以下のとおり。
CVE:CVE-2023-21726
- 公開日:2023年1月10日
- 製品名やバージョン:Windows 7やWindows Server 2008以降のバージョンのOS
- 発生しうる影響:悪意のある攻撃者がシステム特権を獲得するおそれ
- 発見者:ルスラン サイフィエフ氏、デニス ファウストヴ氏
CVE:CVE-2023-21777
- 公開日:2023年2月14日
- 製品名やバージョン:Azure App Service on Azure Stack Hub
- 発生しうる影響:悪意のある攻撃者が他のテナントのアプリケーションやコンテンツを操作できるようになるおそれ
- 発見者:ルスラン サイフィエフ氏、デニス ファウストヴ氏
CVE:CVE-2024-23784
- 公開日:2024年1月30日
- 製品名やバージョン:製品名→クラウド連携エネルギーコントローラ(機器連携コントローラ)/機種名→JH-RVB1 /JH-RV11/バージョン→Ver.B0.1.9.1以前
- 発生しうる影響:製品の設定情報や電力情報等の漏洩する、または製品の設定情報を不正に変更されるおそれ/製品を踏み台にしたサイバー攻撃の起点になるおそれ
- 発見者:馬場将次氏
CVE:CVE-2024-47484
- 公開日:2024年12月16日
- 製品名やバージョン:Dell Avamar バージョン 19.x
- 発生しうる影響:認証されていないリモートの攻撃者が脆弱性を悪用しコマンドを実行するおそれ
- 発見者:川根健太郎氏
【関連記事】
・GMOサイバーセキュリティ byイエラエ、欧州CRAへの対応を規格発表前に行える支援サービス提供へ
・三菱総研DCSとGMOサイバーセキュリティ byイエラエ、生成AI利用システムのセキュリティ診断開始
・GMOサイバーセキュリティ byイエラエ、元インターポール サイバー犯罪捜査官の福森⼤喜氏が参画
