脆弱性とは？脅威やリスク、脆弱性を狙う攻撃の種類、対策方法について解説

この記事では、システムやソフトウェアの脆弱性のリスク、脆弱性をついた攻撃の種類や防ぐ対策について解説をします。

「ソフトウェアの脆弱性を狙った攻撃があった」

ニュースなどで、脆弱性について取り上げられることがあります。しかし実際に理解ができたり、聞かれて答えられる人は多くない。

脆弱性とは、システムやソフトウェアの欠陥です。

脆弱性があっても問題なくシステムやソフトウェアの利用はできますが、放置すると攻撃しやすい対象となってしまい、ウイルス感染やデータ改ざんなどのセキュリティ被害の危険性があります。

この記事では、システムやソフトウェアの脆弱性について、脆弱性のリスクや、脆弱性を狙った攻撃の種類、対策方法について解説をしていきます。

脆弱性とは？一体なに？

脆弱性とは、システムやソフトウェアにセキュリティ上の欠陥があることです。

システムやソフトウェアの設計時には、不具合やバグを修正して構築を行います。しかし脆弱性は、通常の使い方なら問題なくしようできるため、開発者も気が付きにくいのも特徴。

開発者でも気が付かないため、利用者が脆弱性の存在に気が付くことはなかなかありません。

システムやソフトウェアの設計時に生じる不具合やバグの一部に脆弱性も含まれます。

開発者が意図しない使い方をすることで、セキュリティ上の欠陥が生じてしまい、リスクにさらされるのが脆弱性です。

脆弱性の脅威やリスクは？

もし脆弱性があった場合、情報漏洩、データ改ざん、システム停止、攻撃者として偽装されるなど、様々な被害が考えられます。

脆弱性を放置すると、大切な情報資産がなくなってしまったり、攻撃者の手助けをしてしまったりなどのリスクがあります。

脅威やリスクを把握するには、どのような攻撃があるのかも知っておくのが大切です。

脆弱性を狙う攻撃とは？種類はあるの？

SQLインジェクションはデータベースの脆弱性

SQLインジェクションは、データベースに関する脆弱性です。SQLはデータベースの登録や更新に使う言語であり、インジェクションは英語で「噴射」を意味する言葉。

SQLインジェクションにより、データベースの情報漏洩や、データの改ざんなどの被害が発生します。

ショッピングサイトなどを作るとき、商品の在庫や取引状況、顧客情報などをデータサーバーへ保存し、検索や更新などを効率的に行えるよにします。この処理に関する言語が、SQLを使って記述されます。

 

例えばユーザーが商品を購入する際、商品名や注文数、顧客情報を入力しますが、このプログラムに特殊な文字が含まれていると、プログラムによってはデータの改ざんや情報漏洩、システム停止などのにつながる場合があります。

クロスサイトスクリプティングは掲示板の脆弱性

クロスサイトスクリプティングは、掲示板などのサイトの脆弱性を利用し、別のサイトへ移行させ、攻撃を実行する方法です。

スクリプティングは記述したプログラムの実行。

クロスサイトとは、利用者が別のサイトを経由して不正なプログラムを実行させられるため、このように呼ばれます。

例えば攻撃者が用意した悪意のあるスクリプトを含むサイトを閲覧したとします。

そのスクリプトは、まだ攻撃者にのサイトでは実行されません。

しかしサイト内のリンクから、外部のスクリプトを実行する脆弱性を持つサイトへ移行させて、スクリプトを実行させます。

あたかも移行先のサイトから攻撃を受けたように見せる悪意のある攻撃がクロスサイトスクリプティングです。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリは、不正なWebサイトを閲覧させ、利用者てスクリプトを側で実行させれると、不正にSNSへ投稿されたり、商品を購入されたりする攻撃。

SNSへの投稿や商品の購入は、本来ログインをしているユーザーだけが実施できます。

しかしSNSやショッピングサイトにログインをしたままの場合、攻撃者が用意した不正なサイトを閲覧するだけで、SNSなどを投稿が可能に。

アカウントを持つユーザーだけができるはずの操作が、ログイン状態、かつ不正サイトに仕込まれたスクリプトにより、攻撃者でも操作ができてしまいます。

脆弱性を狙う攻撃への対策は？

システムやソフトウェアを常に最新状態にする

基本的な対策は、システムやソフトウェアを常に最新状態にしておくことです。

不定期で更新されるシステムやソフトウェアのバージョンは、様々な理由で更新をされています。不定期更新される内容には、新たに発見した脆弱性も含まれます。

パソコンでも、スマートフォンでも、OSの更新は不定期で通知されますが、常に最新のバージョンへ更新するのが基本。

「更新したら使いにくくなることがある」

「旧バージョンの方が良ければ戻せない」

特にスマートフォンのOSを更新した際に、配置や操作方法が変わってしまい、OSを更新すると仕様変更され、使い方が変わるのが面倒と思っている人がいますがこれは間違い。

全てのバージョンアップが仕様変更となるわけではありません。それでもバージョンアップをしたくなければ、更新内容を常に把握するべき。

もし脆弱性があったら必ず最新化をさせてください。もし面倒なら何も考えずに常にOSを最新化させるようにしましょう。

セキュリティパッチを適応する

セキュリティパッチの適応は、脆弱性に対する有効な対策の１つです。セキュリティパッチを適応することで、発見された脆弱性への攻撃を防ぐことができます。

セキュリティパッチは、発見された脆弱性の穴をふさぐイメージ。けがをした際に貼る絆創膏と一緒です。

セキュリティパッチは、システムやソフトウェアの更新によって、自動で適応されるのが基本。

まれに各メーカーのWeb等にダウンロードするセキュリティパッチが掲載されていることもあります。

システムやソフトウェアのサポート期限に注意する

システムやソフトウェアには、基本的にサポート期限があります。

この期間はシステムやソフトウェアに脆弱性が発見されても、アップデートやセキュリティパッチの適応により、対策がされています。

しかしサポート期限が切れたシステムやソフトウェアでは、それ以降の対処は一切されません。

定期的にサポートが終了するソフトウェアとしては、Windows OSが有名ですね。

「定期的にパソコンを買わせるマイクロソフト社の戦略なんか知らん」

確かに提供メーカーの経営戦略でもありますが、中にはバージョンアップでは対応できないソフトウェアである場合も。

システムやソフトウェアの進化に過去の端末が適応できない場合もあり、定期的な購入促進が必要となっています。

Windows OSは、発売から１０年程度でOSのサポートが終了になりますが、脆弱性をついた攻撃対象となってしまうため、必ずサポート期を限がきれていないソフトウェアを利用してください。

脆弱性を見つける方法はあるの？

システムやソフトウェアの脆弱性を防ぐためには、定期的に脆弱性の有無についてチェックが必要。

脆弱性のリスクやセキュリティ攻撃への対策は分かったけど、できれば事前に脆弱性自体を防ぎたいですよね？

それにはシステムやソフトウェアの利用者が、提供会社のwebページをチェックして、脆弱性が発見されれば脆弱性の対策が必要です。

しかし利用者が各提供会社のwebページをすべてチェックするのは大変です。

そこで、JVNやCVSSといった脆弱性に対するwebページやツールの活用をおすすめします。

「JVN」は脆弱性情報のポータルサイト

JVN（Japan Vulnerability Notes）は、公的機関であるJPCERT/CCとIPAが共同で運勢する脆弱性情報のポータルサイト。

日本や海外で使われるシステムやソフトウェアの脆弱性や、その対策方法について掲載されています。

このポータルサイトを活用することで、提供会社のwebページを確認か不要。

JVNの利用により、脆弱性に関する情報を統一した表現で確認が可能です。

「CVSS」は脆弱性の深刻度を数値化

CVSS（Common Vulnerability Scoring System）は、脆弱性の深刻度を評価するための指標として利用します。

企業や担当者に依存せず、１つの基準で定量的に脆弱性の深刻度を比較できるため、優先順位をつけて対応が可能。

第三者の目線から利用するシステムやソフトウェアの脆弱性について深刻度を数値化し、対策を行いましょう。

脆弱性についてのまとめ

この記事では、脆弱性のリスクや、脆弱性をついた攻撃の種類、対策について解説をしてきました。

脆弱性とは、システムやソフトウェアにセキュリティ上の欠陥があること

脆弱性についた攻撃により、情報漏洩や、データの改ざんなどのリスクがある

脆弱性をついた攻撃を防ぐには、システムやソフトウェアを最新化して、サポート切れに注意する

脆弱性をなくすために、JVNやCVSSを活用する

脆弱性があっても、システムやソフトウェアは問題なく利用できる場合が多く、利用が気付くのは難しいのが現状です。

そのため常にバージョンを最新化させ、脆弱性が見つかったらすぐにセキュリティパッチを適応できるように対策をしておきましょう。

まずは、システムは全て自動更新となるように設定をすべき。

自社のシステムやソフトウェアを利用したら、自動更新となっているか、設定を確認してみて下さい。