脆弱性とは？今すぐ対策すべきことは？

私たちが日頃から使っているコンピューターやスマートフォンには「脆弱性」と呼ばれるセキュリティ上のリスクが存在します。脆弱性を放置しているとサイバー攻撃の標的になるリスクが高まるため、日頃からソフトウェアのアップデートが必要です。

本記事では脆弱性はなぜ発生するのか、そのリスクや対策方法を解説していきます。 

「脆弱性（Vulnerability）」とは、システムの弱点のことで「セキュリティホール」とも呼ばれます。プログラムでOSやソフトウェアを開発する場合、可能な限りセキュリティ上の欠陥を無くすように設計します。しかし、どれだけ熟考したとしても抜け穴やバグは発生するもの。サイバー攻撃者は常にセキュリティホールを探しているのです。 

脆弱性が見つかるとメーカーはすぐにセキュリティアップデートを実施します。しかしアップデートを繰り返しても脆弱性を完全にカバーするのは困難です。そのためメーカーとサイバー攻撃者のいたちごっこになっています。MicrosoftやAppleが定期的にアップデートを実施しているのもこのためで、新しいセキュリティホールが見つかるたびにその対応に追われています。 

また、ユーザーがOSやソフトウェアを最新の状態に保っていたとしても「ゼロデイ脆弱性」を突かれて攻撃される危険性があります。 

「ゼロデイ脆弱性」とは、新しく発見された脆弱性を真っ先に攻撃されるリスクのことです。OSやソフトウェアは脆弱性が新しく見つかると公開することがあります。情報公開の目的は、ユーザーに注意喚起をするためです。しかし同時にサイバー攻撃者にも情報を与えることになってしまいます。 

メーカーは脆弱性に対処するための修正プログラムを開発、配布しようとしますが、これよりも先にサイバー攻撃者のほうが攻撃手段を見つけてしまうと危険な状態になるのです。 

過去の事例としてはGoogleがゼロデイ脆弱性を報告したことがあります。これはWindows 7の32bit版で動くGoogle Chromeの脆弱性を狙ったもので、Microsoftは修正対応に取り組みつつもユーザーにはWindows 10へのアップグレードを検討するように呼びかけていました。このように、OSが古いことで脆弱性が発生することもあるのです。 

ソフトウェア開発はスケジュールに追われる仕事であるため、セキュリティよりも「まずは動く」ことが優先されるという側面があります。開発者もセキュリティは重要だと頭ではわかっていますが、優先度としては一段下げざるをえません。 

また、いくら優秀なプログラマーであってもあらゆるケースを想定した設計をするのは困難です。新しい機能やセキュリティアップデートなど、プログラムを追加することは新たな脆弱性を生み出す可能性もあるのです。 

Webサイトが簡単に構築できることで有名なコンテンツマネジメントシステム（CMS）にWordPress（ワードプレス）があります。WordPressはその便利さゆえ世界的なシェアを誇りますが、それゆえWordPressを狙った攻撃も多いです。 

自社サイトをWordPressで構築している企業はたくさんあります。しかしWordPressを使うことは脆弱性と常に隣り合わせであることを意識したほうがいいでしょう。 

脆弱性とセキュリティホール（バグ）は厳密には同じものを指しません。セキュリティホールがプログラム上の問題であるのに対して、脆弱性はネットワークなどの外部要因も加えたセキュリティの問題を指します。 

たとえば、本来権限を持たないはずのユーザーが情報を更新できてしまうのがセキュリティホールです。これに対して、仕様通りにプログラミングされていても、外部から予想外の入力であるクロスサイトスクリプティング（XSS）などで情報を更新されてしまうのが脆弱性といえます。 

しかしそこまで細かい分類を気にする必要はありません。1番大切なのは常にセキュリティ意識を高く持ち、企業の情報資産を守ることです。 

情報セキュリティについては、「情報セキュリティとは？押さえておきたい3つの基礎知識を紹介！」をご覧ください。 

ここからは脆弱性がもたらす4つのリスクについてご紹介していきます。脆弱性を放置すると以下のような問題が発生します。 

• ネットワークに侵入される 
• 情報が改ざんされる
• データが盗聴される
• マルウェアに感染する

それぞれ見ていきましょう。 

すでに解説したように脆弱性のあるプログラムは公開されている情報が多く、サイバー攻撃者は簡単にターゲットを見つけることができます。企業ホームページや業務用アプリケーションなど、脆弱性が見つかれば最初に考えるのは「ネットワークへの侵入」です。

ネットワークに侵入する方法はさまざまですが、代表的なのは標準型攻撃メールでしょう。 標準型攻撃メールとは、業務連絡に偽装して従業員にメールを送信しその添付ファイルやURLリンクをクリックさせることで不正プログラムを内部に侵入させる手法です。なかには巧妙に偽装されて見分けがつかないものもあります。これを一斉送信すると数百人に何人かはリンクをクリックしてしまうのです。 

ネットワークへの侵入を許すと、サイバー攻撃者はもっと活動しやすいように「マルウェア」を紛れ込ませるケースもあります。マルウェアは「ウィルス」や「トロイの木馬」「スパイウェア」など悪意のあるプログラムの総称です。これらがセキュリティチェックの網をくぐって入ってしまうと事態はより深刻になります。 

たとえば、感染したパソコンやスマートフォンから内部の人間になりすましたメールを送って機密情報を聞き出されてしまうかもしれません。ほかにも社内の人間しか閲覧できないアカウント情報を盗み出されて不正ログインされてしまう可能性もあります。 

コンピューターウイルスに関しては「知っておくべきコンピュータウイルスの種類とは？事例と対策を紹介！」、トロイの木馬に関しては「トロイの木馬とは？実際の被害事例から考える対策とは？」で詳しく説明しています。合わせてご覧ください。

脆弱性のなかに「SQLインジェクション」と呼ばれるものがあります。これは入力フォームで不正なスクリプトを実行できてしまう脆弱性で、悪用すればログイン画面でIDやパスワードを盗聴可能になってしまうのです。そのほかにも、クレジットカードや銀行口座など重要な個人情報も盗聴されてしまう可能性があります。 

さきほどのSQLインジェクションは、データ盗聴のほかにもWebサイトの改ざんも行えてしまいます。たとえば企業サイトで本来表示されるページとはまったく別の（サイバー攻撃者が用意した）ページに飛ばすことも可能です。 

ほかにはマルウェア経由でFTPアカウント（ファイル送信用アカウント）が盗まれ、サーバーに置いてあるファイルが直接編集されてしまう恐れもあります。正規のルートで情報が改ざんされると、内部から発見するのが難しくなります。気づいたときには多くのユーザーが被害にあっていた、ということも考えられるでしょう。 

脆弱性にしっかり対応しておかないと、後々大きなリスクになることがわかると思います。 

脆弱性への対策方法は3つあります。これらを日頃から意識すれば最低限の対策は可能です。 

• こまめなアップデート 
• セキュリティ対策ソフトの導入 
• 最新のセキュリティ情報を収集する 

セキュリティアップデートが公開されたらすぐに適用しましょう。「アップデートをしない」＝「脆弱性を放置している」という認識を持つようにしてください。最新だからといってすべての脅威を防げるわけではありませんが、脆弱性の穴を最小限に留められます。 

業務で使うパソコンやスマートフォンにはセキュリティ対策ソフトを導入しましょう。セキュリティ対策ソフトを入れておけば、たとえ脆弱性を利用してマルウェアに感染しても水際で検知して取り除けるためです。 

セキュリティ対策ソフトの定義ファイルは常に最新のものにしておくことも重要です。最近は未知のウィルスであってもその挙動から怪しい動きを検知する「ヒューリスティック検知」を搭載したセキュリティ対策ソフトもあります。 

ドスパラプラスでお取り扱いのあるISM CloudOneはクラウド型IT資産管理＋セキュリティ対策サービス。

ヒューリスティック検知の一種である「ふるまい検知」機能を搭載しており、５つのエンジンを駆使し、怪しいふるまいをするファイルを検知。管理者にアラートメールを送ります。既知の脆弱性がある端末を抽出できる自動脆弱性診断と併用することで、質の高い情報漏えい対策を実現しています。

ISM CloudOneについて詳しくは以下のページをご覧ください。

ゼロデイ攻撃に備えるためにも最新のセキュリティ情報に対してアンテナを張っておくことも重要です。ゼロデイ攻撃のようなケースもあるため、自社で利用しているソフトウェアやハードウェアについてメーカーが発信する情報を常にチェックしておきましょう。 

情報セキュリティ対策については、「重要度が高まる情報セキュリティ対策｜過去の事例や基本的な進め方を紹介！」をご覧ください。 

ここからは、実際の脆弱性の例をご紹介していきます。

理論的な知識だけでなく、実際の脆弱性事例を理解することで、より具体的な対策と対応策を探求できます。特に近年は、急速に進化するテクノロジーとともに新たな脆弱性が次々と発見されています。以下に具体的な事例を挙げ、それぞれに適した対策や対応方法をご紹介します。

近年の代表的な例としては、Apache Log4jの脆弱性があります。

Apache Log4jは、Javaプログラムのロギングライブラリで、幅広いアプリケーションで使われています。2021年には、このライブラリに深刻な脆弱性（CVE-2021-44228）が発見され、大きな騒動となりました。

これは、JNDI（Java Naming and Directory Interface）というJavaのAPIを悪用する形で発生しました。攻撃者が特殊な形式のログメッセージを送ると、Log4jがこれを解析し、JNDI Lookupを誤って実行。攻撃者が指定したリモートサーバから悪意のあるコードがダウンロードされ、実行される可能性が生じました。

対策方法

Apache Log4jの脆弱性に対する最も効果的な対策は、最新版への迅速なアップデートです。また、Log4jを使用しているすべてのシステムやアプリケーションに対して、攻撃の兆候を検知するための監視を強化することも必要です。セキュリティソフトを使用して、脅威を早期に検出し防ぐことも効果的です。

2021年に発覚したMicrosoft Exchange Serverの脆弱性も全世界で大きな問題となりました。

これは中国のハッキング集団「Hafnium」により悪用され、企業のメールシステムが攻撃対象となりました。4つのゼロデイ脆弱性を組み合わせることで、攻撃者はリモートからサーバーにアクセス。信用情報の窃取やシステムへの侵入を行うことが可能となりました。

対策方法

対策としては、Microsoftからリリースされたパッチを速やかに適用することが最も重要です。また、不審なアクティビティの監視、セキュリティソフトの導入など、最新のセキュリティ情報に常に目を配ることも重要です。

Wi-FiのセキュリティプロトコルWPA2でも、2017年に深刻な脆弱性が見つかりました。この脆弱性、通称「KRACK」は、攻撃者がWiFiネットワークの暗号化を解除し、通信を傍受することを可能にします。その結果、機密情報の漏洩やマルウェアの感染リスクが高まりました。

対策方法

この脆弱性に対する対策は、各デバイスのベンダーから提供されるセキュリティアップデートを素早くインストールすることです。また、不正なWi-Fiアクセスを防ぐために、VPNの使用やHTTPSなどの暗号化プロトコルを使用することも推奨されています。

セキュリティ対策を迅速に行うためには、自身のシステムやネットワークが潜在的な攻撃からどの程度保護されているかを常に把握する必要があります。そのためには、最新で正確な脆弱性情報の取得が必要不可欠です。

最後に、信頼性の高い情報源をご紹介します。

全世界の脆弱性情報を集約する「CVE（Common Vulnerabilities and Exposures）」と、日本国内の情報を日本語で提供する「JVN（Japan Vulnerability Notes）」です。これらのデータベースは信頼性が高く、最新の脆弱性情報を素早く取得する上で欠かせません。

CVEとは、Common Vulnerabilities and Exposuresの略で、世界中のセキュリティ脆弱性情報を一元的に管理・公開するための米国のシステムです。各脆弱性にはユニークなID（CVE-ID）が割り当てられ、これにより全世界で統一された脆弱性情報の参照・共有が可能となっています。脆弱性情報の把握には、CVE公式WEBサイト（外部）やセキュリティ対策ソフトを活用することが一般的です。

JVNは、Japan Vulnerability Notesの略で、日本の独自脆弱性情報と国外から提供された脆弱性情報を、日本語で提供するシステムです。情報技術振興事業本部（IPA）とJPCERT/CCが共同で運営しています。情報はJVN公式WEBウェブサイト（外部）で公開され、読者は最新の脆弱性情報やセキュリティニュースを容易に確認することができます。

脆弱性を放置していると社内のネットワークに侵入されて情報資産を盗聴・改ざんされる恐れがあります。脆弱性を完全に無くすことは難しいですが、業務で利用するデバイスにセキュリティ対策ソフトを導入し、最新の状態にアップデートすれば脅威を減らせます。 

より高度なセキュリティパッケージを導入したいのであれば前述の「ISM CloudOne」をご検討ください。ISM CloudOneにはさきほどご紹介したとおり、「ヒューリスティック検知」や「脆弱性対策」が搭載されているため、未知の脅威への対応も期待できます。 

ご興味のあるお客様、ご不明点がある方は、どんなことでも結構ですので、お気軽にドスパラプラスまでご相談ください。