- HOME
- 法人様向けお役立ちコンテンツ
- 脆弱性とは?今すぐ対策すべきことは?
脆弱性とは?今すぐ対策すべきことは?
私たちが日頃から使っているコンピューターやスマートフォンには「脆弱性」と呼ばれるセキュリティ上のリスクが存在します。脆弱性を放置しているとサイバー攻撃の標的になるリスクが高まるため、日頃からソフトウェアのアップデートが必要です。
本記事では脆弱性はなぜ発生するのか、そのリスクや対策方法を解説していきます。
目次
目次
脆弱性(ぜいじゃくせい)とは
システムの弱点
「脆弱性(Vulnerability)」とは、システムの弱点のことで「セキュリティホール」とも呼ばれます。プログラムでOSやソフトウェアを開発する場合、可能な限りセキュリティ上の欠陥を無くすように設計します。しかし、どれだけ熟考したとしても抜け穴やバグは発生するもの。サイバー攻撃者は常にセキュリティホールを探しているのです。
メーカーの定期アップデートの理由にも
脆弱性が見つかるとメーカーはすぐにセキュリティアップデートを実施します。しかしアップデートを繰り返しても脆弱性を完全にカバーするのは困難です。そのためメーカーとサイバー攻撃者のいたちごっこになっています。MicrosoftやAppleが定期的にアップデートを実施しているのもこのためで、新しいセキュリティホールが見つかるたびにその対応に追われています。
また、ユーザーがOSやソフトウェアを最新の状態に保っていたとしても「ゼロデイ脆弱性」を突かれて攻撃される危険性があります。
ゼロデイ脆弱性とは
すぐ攻撃されるリスク
「ゼロデイ脆弱性」とは、新しく発見された脆弱性を真っ先に攻撃されるリスクのことです。OSやソフトウェアは脆弱性が新しく見つかると公開することがあります。情報公開の目的は、ユーザーに注意喚起をするためです。しかし同時にサイバー攻撃者にも情報を与えることになってしまいます。
メーカーは脆弱性に対処するための修正プログラムを開発、配布しようとしますが、これよりも先にサイバー攻撃者のほうが攻撃手段を見つけてしまうと危険な状態になるのです。
OSが古いことで脆弱性が発生することも
過去の事例としてはGoogleがゼロデイ脆弱性を報告したことがあります。これはWindows 7の32bit版で動くGoogle Chromeの脆弱性を狙ったもので、Microsoftは修正対応に取り組みつつもユーザーにはWindows 10へのアップグレードを検討するように呼びかけていました。このように、OSが古いことで脆弱性が発生することもあるのです。
なぜ脆弱性は発生するのか
すべてのケースを想定した設計は困難
ソフトウェア開発はスケジュールに追われる仕事であるため、セキュリティよりも「まずは動く」ことが優先されるという側面があります。開発者もセキュリティは重要だと頭ではわかっていますが、優先度としては一段下げざるをえません。
また、いくら優秀なプログラマーであってもあらゆるケースを想定した設計をするのは困難です。新しい機能やセキュリティアップデートなど、プログラムを追加することは新たな脆弱性を生み出す可能性もあるのです。
WordPressを狙った攻撃も多い
Webサイトが簡単に構築できることで有名なコンテンツマネジメントシステム(CMS)にWordPress(ワードプレス)があります。WordPressはその便利さゆえ世界的なシェアを誇りますが、それゆえWordPressを狙った攻撃も多いです。
自社サイトをWordPressで構築している企業はたくさんあります。しかしWordPressを使うことは脆弱性と常に隣り合わせであることを意識したほうがいいでしょう。
脆弱性とセキュリティホール(バグ)は違うのか
セキュリティホールはプログラム上の問題
脆弱性とセキュリティホール(バグ)は厳密には同じものを指しません。セキュリティホールがプログラム上の問題であるのに対して、脆弱性はネットワークなどの外部要因も加えたセキュリティの問題を指します。
問題がなくても、外部要因で脆弱性は発生する
たとえば、本来権限を持たないはずのユーザーが情報を更新できてしまうのがセキュリティホールです。これに対して、仕様通りにプログラミングされていても、外部から予想外の入力であるクロスサイトスクリプティング(XSS)などで情報を更新されてしまうのが脆弱性といえます。
しかしそこまで細かい分類を気にする必要はありません。1番大切なのは常にセキュリティ意識を高く持ち、企業の情報資産を守ることです。
情報セキュリティについては、「情報セキュリティとは?押さえておきたい3つの基礎知識を紹介!」をご覧ください。
脆弱性がもたらす4つのリスク
ここからは脆弱性がもたらす4つのリスクについてご紹介していきます。脆弱性を放置すると以下のような問題が発生します。
- ネットワークに侵入される
- 情報が改ざんされる
- データが盗聴される
- マルウェアに感染する
それぞれ見ていきましょう。
ネットワークに侵入される
すでに解説したように脆弱性のあるプログラムは公開されている情報が多く、サイバー攻撃者は簡単にターゲットを見つけることができます。企業ホームページや業務用アプリケーションなど、脆弱性が見つかれば最初に考えるのは「ネットワークへの侵入」です。
標準型攻撃メール
ネットワークに侵入する方法はさまざまですが、代表的なのは標準型攻撃メールでしょう。 標準型攻撃メールとは、業務連絡に偽装して従業員にメールを送信しその添付ファイルやURLリンクをクリックさせることで不正プログラムを内部に侵入させる手法です。なかには巧妙に偽装されて見分けがつかないものもあります。これを一斉送信すると数百人に何人かはリンクをクリックしてしまうのです。
マルウェアに感染する
ネットワークへの侵入を許すと、サイバー攻撃者はもっと活動しやすいように「マルウェア」を紛れ込ませるケースもあります。マルウェアは「ウィルス」や「トロイの木馬」「スパイウェア」など悪意のあるプログラムの総称です。これらがセキュリティチェックの網をくぐって入ってしまうと事態はより深刻になります。
たとえば、感染したパソコンやスマートフォンから内部の人間になりすましたメールを送って機密情報を聞き出されてしまうかもしれません。ほかにも社内の人間しか閲覧できないアカウント情報を盗み出されて不正ログインされてしまう可能性もあります。
コンピューターウイルスに関しては「知っておくべきコンピュータウイルスの種類とは?事例と対策を紹介!」、トロイの木馬に関しては「トロイの木馬とは?実際の被害事例から考える対策とは?」で詳しく説明しています。合わせてご覧ください。
データが盗聴される
脆弱性のなかに「SQLインジェクション」と呼ばれるものがあります。これは入力フォームで不正なスクリプトを実行できてしまう脆弱性で、悪用すればログイン画面でIDやパスワードを盗聴可能になってしまうのです。そのほかにも、クレジットカードや銀行口座など重要な個人情報も盗聴されてしまう可能性があります。
情報が改ざんされる
さきほどのSQLインジェクションは、データ盗聴のほかにもWebサイトの改ざんも行えてしまいます。たとえば企業サイトで本来表示されるページとはまったく別の(サイバー攻撃者が用意した)ページに飛ばすことも可能です。
ほかにはマルウェア経由でFTPアカウント(ファイル送信用アカウント)が盗まれ、サーバーに置いてあるファイルが直接編集されてしまう恐れもあります。正規のルートで情報が改ざんされると、内部から発見するのが難しくなります。気づいたときには多くのユーザーが被害にあっていた、ということも考えられるでしょう。
脆弱性にしっかり対応しておかないと、後々大きなリスクになることがわかると思います。
脆弱性への対策方法
脆弱性への対策方法は3つあります。これらを日頃から意識すれば最低限の対策は可能です。
- こまめなアップデート
- セキュリティ対策ソフトの導入
- 最新のセキュリティ情報を収集する
こまめなアップデート
セキュリティアップデートが公開されたらすぐに適用しましょう。「アップデートをしない」=「脆弱性を放置している」という認識を持つようにしてください。最新だからといってすべての脅威を防げるわけではありませんが、脆弱性の穴を最小限に留められます。
セキュリティ対策ソフトの導入
業務で使うパソコンやスマートフォンにはセキュリティ対策ソフトを導入しましょう。セキュリティ対策ソフトを入れておけば、たとえ脆弱性を利用してマルウェアに感染しても水際で検知して取り除けるためです。
セキュリティ対策ソフトの定義ファイルは常に最新のものにしておくことも重要です。最近は未知のウィルスであってもその挙動から怪しい動きを検知する「ヒューリスティック検知」を搭載したセキュリティ対策ソフトもあります。
ISM cloud ONE
ドスパラプラスでお取り扱いのあるISM CloudOneはクラウド型IT資産管理+セキュリティ対策サービス。
ヒューリスティック検知の一種である「ふるまい検知」機能を搭載しており、5つのエンジンを駆使し、怪しいふるまいをするファイルを検知。管理者にアラートメールを送ります。既知の脆弱性がある端末を抽出できる自動脆弱性診断と併用することで、質の高い情報漏えい対策を実現しています。
ISM CloudOneについて詳しくは以下のページをご覧ください。
最新のセキュリティ情報を収集する
ゼロデイ攻撃に備えるためにも最新のセキュリティ情報に対してアンテナを張っておくことも重要です。ゼロデイ攻撃のようなケースもあるため、自社で利用しているソフトウェアやハードウェアについてメーカーが発信する情報を常にチェックしておきましょう。
情報セキュリティ対策については、「重要度が高まる情報セキュリティ対策|過去の事例や基本的な進め方を紹介!」をご覧ください。
まとめ
脆弱性を放置していると社内のネットワークに侵入されて情報資産を盗聴・改ざんされる恐れがあります。脆弱性を完全に無くすことは難しいですが、業務で利用するデバイスにセキュリティ対策ソフトを導入し、最新の状態にアップデートすれば脅威を減らせます。
より高度なセキュリティパッケージを導入したいのであれば前述の「ISM CloudOne」をご検討ください。ISM CloudOneにはさきほどご紹介したとおり、「ヒューリスティック検知」や「脆弱性対策」が搭載されているため、未知の脅威への対応も期待できます。
ご興味のあるお客様、ご不明点がある方は、どんなことでも結構ですので、お気軽にドスパラプラスまでご相談ください。
