トピックス 2020.03.26 脆弱性とは?今更聞けないインターネットセキュリティの基本のキ
デジタル機器、特にPCやスマホを利用していると時々目にするのが脆弱性(ぜいじゃくせい)というキーワードです。
なんとなく情報セキュリティ的には良くないものだろうという認識をされていることが多いです。
その認識は大筋では間違っていませんが、脆弱性とは時にデジタルデバイスが利用できなくなる、あるいは大事な情報が流出してしまうなどの大きな問題にも繋がってしまう恐れがあるため、より深刻に捉える必要があります。
インターネット利用の基本となる脆弱性への対応。
脆弱性とはなにか、そしてその対応を改めて確認し、安全なインターネット利用に役立てましょう。
脆弱性とはなぜ生まれるものなのか
「脆弱性がある」と言った場合、主にOSやソフトウェアにおいて、セキュリティーホールと呼ばれるセキュリティ上の弱点や欠陥(ウィークポイント)が存在することを示します。
この脆弱性は、プログラムの不具合や設計上の見落とし、技術の進歩により開発時に想定されていなかった攻撃方法が発生するなどにより発生してしまうものです。
脆弱性のある状態でPCやスマホをはじめとしたデジタル機器を使い続けると、悪意あるユーザから攻撃のターゲットとされてしまい、デジタル機器への侵入や情報の抜き取り、コンピュータウイルスへの感染といった様々な脅威にさらされてしまいます。
Webページなどをインターネットへ公開しているサーバがこの脆弱性を突かれてウイルスに感染してしまうと、インターネット上にウイルスをばらまいてしまう危険性もあります。
今までに攻撃された脆弱性の事例
ブログ投稿管理ソフトウェアとして現在世界で最も普及している「ワードプレス」というソフトウェアは、多くの人が使う人気のあるソフトウェアであるがゆえに脆弱性を狙った攻撃が度々発生しています。
2014年には、自分の投稿へのリンクが設置された際に通知を受け取ることができる「Pingback(ピンバック)」という機能が初期設定で有効となっていることを突かれ、ワードプレスで構築されたサイトがDDoS攻撃と呼ばれるサイバー攻撃に利用されてしまいました。
2017年1月には特定のバージョンのワードプレスを利用しているサイトに対して、攻撃者が細工したリクエストを送信すると投稿内容を改ざんすることが可能な脆弱性が存在することが明らかになりました。
脆弱性を狙った攻撃方法は様々ですが、代表的なものとして「クロスサイトスクリプティング」と呼ばれるものがあります。
これはユーザが書き込みできるWeb上の掲示板やSNSなどに、攻撃者は攻撃用に用意した偽サイトのリンクを書き込むもので、このリンクをクリックしてしまうと情報取得用などの悪意を持ったサイトへ誘導されて、情報を盗み取られたりマルウェアに感染したりする被害を受けてしまうというものです。
特定のサイトにアクセスした後で、画面上にいきなりポップアップや入力フォームが表示されたりする場合は気をつけましょう。
脆弱性を突いた攻撃には、Webサイトやアプリの情報入力欄から不正な命令をコンピューター内に送り込んで実行させるものなど、情報の盗み取り以外にも情報やシステムの改竄・破壊などが可能な場合もある危険な攻撃です。
デジタルデバイスの脆弱性への対応
脆弱性への一番基本的かつ確実な対策は、OSやソフトウェアの開発元によるアップデート(修正プログラムやパッチ)を適用することです。
また、脆弱性を狙った攻撃にはセキュリティソフトを導入して脆弱性対応を行っておくことで回避できるものもあります。
自分の利用しているOS、ソフトウェアの開発元による脆弱性発見のアナウンスには普段から注意しておいて素早く対応することが肝要です。
終わりに
悪意ある攻撃者は常に脆弱性を探して攻撃できる隙を見つけようとしていますが、OSやソフトウェアの開発者も脆弱性や外部からの攻撃を発見したら素早く対応を行なっています。
攻撃する側と防御する側の関係は世に言う「いたちごっこ」の様相を呈していますが、インターネットの利用には一定のリスクがあることを忘れず、セキュリティを高めるための脆弱性対応は確実に実施するようにしましょう。
【関連リンク】
・脆弱性(ぜいじゃくせい)とは? 国民のための情報セキュリティサイト(総務省)https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html
・脆弱性対策(独立行政法人情報処理推進機構 (IPA))
https://www.ipa.go.jp/security/vuln/index.html
・脆弱性レポート一覧(JPCERT コーディネーションセンター、独立行政法人情報処理推進機構 (IPA))
https://jvn.jp/report/
TEXT:セキュリティ通信 編集部
PHOTO:iStock