あなたの発注コンシェルジュ

公開日: 更新日:

セキュリティホール(脆弱性)とは?脆弱性についての理解で思わぬリスクを回避

サイバー攻撃に対するセキュリティのイメージ
目次

普段からインターネットやパソコンに触れている方のなかには、セキュリティホールや脆弱性という言葉を耳にしたことがある方も多いのではないでしょうか。インターネットが一般化した現在、セキュリティホールへの対策は企業にとって重要な課題のひとつです。

従来のソフトウェアやOSのセキュリティホールを狙った攻撃はもちろんですが、最近ではwebサイトのセキュリティホールを狙ったサイバー攻撃も顕在化。ソフトウェアやOSと違い、webサイトのセキュリティホールには従来のセキュリティソフトやファイアウォールだけでは対応できず、WAFとよばれるセキュリティツールが登場しています。

そこで今回は、セキュリティホールについて理解を深めるために、セキュリティホールができる原因やサイバー攻撃の手口、その解決策なども含めて詳しく紹介していきます。

1.セキュリティホール(脆弱性)とは

1.セキュリティホール(脆弱性)とは

セキュリティホールという言葉を直訳すると「セキュリティの穴」という意味になります。その名の通り、セキュリティ対策上の欠陥や抜け道のことを指し、サイバー攻撃の多くはこのセキュリティホールを狙って攻撃を仕掛けてきます。

そのため、セキュリティホールが見つかったら早急に対策を打たなくてはなりません。セキュリティホールに対して一切対策をしていないと、コンピュータウイルスや不正アクセスなどの被害に遭うリスクが急激に高くなり、重要な情報が盗まれたりコンピュータが乗っ取られたりする可能性もあります。

1-1.セキュリティホール(脆弱性)の概要

セキュリティホールは、OSやソフトウェアなどのプログラムに見つかるケースが多く、開発元が修正用のパッチプログラムを配布して対応することが多いです。

しかし、実はOSやソフトウェアだけではなく、webサイトにおいてもセキュリティホールは存在し、それを狙ったサイバー攻撃が近年増加傾向にあります。webサイトのセキュリティホールを狙ったサイバー攻撃とは、言い方を変えればサーバを狙った攻撃でもあります。

webアプリケーションのセキュリティホールを狙ったサイバー攻撃は従来のファイアウォールなどでは対策が難しく、WAF(Web Apllication FireWall)とよばれる専用のセキュリティツールが有効とされています。

1-2.セキュリティホールができてしまう原因

セキュリティホールができてしまう理由は、「プログラムの開発は人間の手によるものであるから」です。例えば、WindowsやMacなどのOSを見ても分かるように、その構造や機能は非常に複雑です。ひとつひとつの機能を実装させるために、システムエンジニアやプログラマーの手によって設計・コーディングされています。

そんな中でセキュリティホールが一切存在しない、100%安全なプログラムを完成させるということはほぼ不可能であり、実際にセキュリティホールが後になってから発覚するということは珍しいことではありません。また、webサイトの設計においてもセキュリティホールはどうしてもできてしまうため、その対策としてWAFでサイバー攻撃から防御しているという現状があります。

1-3. セキュリティホールによって起こる問題

数多くある問題の中でも、もっとも重大なのが「サイバー攻撃を受けやすくなる」ということです。セキュリティホールが存在することによって悪意のあるユーザーが攻撃を仕掛けて重要な情報を盗み取ったり、コンピュータそのものが攻撃されるリスクもあります。

また、webアプリケーションのセキュリティホールを狙った攻撃の場合は、webサイトが改変されたりアクセス不能になってしまったりといった被害も考えられます。もちろん、顧客情報を扱うwebサイトであれば個人情報が流出することも考えられます。

インターネットセキュリティの見積もりが
最短翌日までにそろう

一括見積もりをする(無料)

2.セキュリティホールに突いた代表的な手口

2.セキュリティホールに突いた代表的な手口

セキュリティホールがあることによって、サイバー攻撃を受けやすくなるというリスクがあることは分かりましたが、実際にサイバー攻撃にはどのような手口があるのでしょうか。

いくつか代表的な例として、今回は「強制ブラウジング」「バッファ・オーバーフロー」「SQLインジェクション」「クロスサイト・スクリプティング」「DNSキャッシュポイズニング」の5つの例を取り上げてみます。

2-1.強制ブラウジング

強制ブラウジングとはアドレスバーにURLを入力し、本来公開していないページにアクセスを試みるという手口です。通常、webページはリンクを辿っていくユーザーがほとんどですが、URLからいくつかのパターンを推測できます。

たとえば、URL内に「page2」という表記があれば、page1やpage3などがあることは容易に予測できるでしょう。このうち、あるページのみがリンク内にはなく、なんらかの重要な情報が保存されたページであった場合、簡単に情報を盗み取ることができてしまいます。

webサイトの開発時にアクセス権限が適切に設定されていないと、セキュリティホールが生まれてしまいます。強制ブラウジングというセキュリティホールはwebページへのアクセス権限を変更することで対応できますが、HTMLのコードを変更しない場合でもWAFによってアクセス権限を変えることが可能です。

2-2.バッファ・オーバーフロー

バッファ・オーバーフローとは、コンピュータが処理可能な容量を超えるタスクを実行させ、その状態で悪意のあるプログラムを実行させるというものです。いわばコンピュータが混乱している状態に乗じてセキュリティホールを突く手口といえます。

攻撃手法としては古典的な手口ですが、バッファ・オーバーフローへの対策を完璧にすることは技術的に相当難易度が高く、攻撃を受けた時点で対策を取る状況が続いています。バッファ・オーバーフローのセキュリティホールへの対策としても、現時点ではWAFが有効な手法として挙げられます。

2-3.SQLインジェクション

webサイトにSQLのセキュリティホールがあると、意図しないデータを検索することによってデータベースの数値を改ざんしたり削除できます。これを悪用したものをSQLインジェクションと呼び、webアプリケーションのセキュリティホールを狙ったサイバー攻撃として大きな脅威となっています。

さらに、SQLインジェクションによってデータベース内の情報を盗み取られる懸念もあり、重大な情報漏えい事故に発展する可能性もゼロではありません。結果として顧客や取引先からの信用もなくなり、事業そのものが継続できなくなるリスクもはらんでいます。

2-4.クロスサイト・スクリプティング

クロスサイト・スクリプティングとは、動的webページのセキュリティホールを狙った攻撃手法です。動的webページとは、ユーザーが指定した任意の条件にマッチしたページを表示させるというもの。代表的な例でいえば、TwitterやInstagramといったSNSなどが挙げられます。

これらに共通しているのは、アクセスするたびにページに表示される内容が変わるという点です。動的webページにセキュリティホールがあると、それを悪用するプログラムを送り込み、ページの内容を改変したりデータを盗み取ることが可能になります。悪意のあるプログラム(スクリプト)を仕掛けたサイトを用意しておき、訪れたユーザーに対してスクリプトを持たせ、ユーザーが攻撃先のサイトにアクセスした際に、セキュリティホールを狙ってスクリプトが悪さをするというのがクロスサイト・スクリプティングの仕組みです。

2-5.DNSキャッシュポイズニング

インターネットでwebページにアクセスする際には、URLをIPアドレスに変換するDNSサーバを経由しています。一度訪問したwebページのIPアドレスはDNSサーバに保存されており、次回から高速でアクセスできるようになります。

しかし、このDNSサーバに登録されているIPアドレスの情報が違っていると、誤ったサイトに接続されてしまいます。このようにDNSサーバのセキュリティホールを狙ってIPアドレスの情報を書き換え、フィッシングサイトなどのページに強制的にアクセスさせるものが、DNSキャッシュポイズニングです。一見しただけではユーザーは気付きづらく、知らない間にクレジットカードや個人情報などを入力してしまい、詐欺の被害に遭うリスクがあるため注意が必要です。

3.セキュリティホールへの対策

3.セキュリティホールへの対策

OSやソフトウェア、webページなど、あらゆるプログラムにセキュリティホールは存在していると考えたほうが良いでしょう。開発の段階でセキュリティホールがまったく存在しないプログラムを組むことはほぼ不可能であり、セキュリティホールがあるということを前提に対策を行うことが現実的です。

上記で挙げたセキュリティホールを狙ったサイバー攻撃の手口は、いずれもwebアプリケーションのセキュリティホールを狙ったものです。これらはWAFによってある程度防げますが、ソフトウェアやOSのセキュリティホールを狙ったサイバー攻撃はどのように対策を取ればいいのか説明します。

3-1.OSやソフトウェアのアップデートを欠かさない

ソフトウェアのアップデートがリリースされるということは、新たな機能が実装されるだけではなく、セキュリティホールへの対策が追加されるケースが多いものです。

アップデートを怠るということは、セキュリティホールへの対策が遅れるということも意味しています。アップデート作業が面倒だからといって後回しにしていると、ある日突然セキュリティホールを狙ったサイバー攻撃の被害に遭う確率も高くなります。

ソフトウェアのアップデート作業は決して難しいことではなく、コストもかからないため必ず早めに実行しましょう。ちなみに、WAFについてもシグネチャとよばれる攻撃パターンを記録したデータが不定期で更新されます。WAFのシグネチャ更新頻度が低いと、セキュリティホールを放置しているのと同じ状態になります。新たな脅威に即対応できるようにするためにも、WAFのシグネチャ更新は非常に重要なポイントです。

3-2.脆弱性診断を受ける

独自に開発したソフトウェアやwebサイトがある場合、ソフトウェアのインストールやWAFの導入前に脆弱性診断を実施することもセキュリティホールへの対策として重要です。

脆弱性診断とは、ソフトウェアやwebサイトにサイバー攻撃を仕掛けられやすいセキュリティホールがあるかを診断するものです。専門的な知見から調査をすることで、これまで認識していなかったようなセキュリティホールを見つけられます。

OSや市販のソフトウェアは提供しているメーカー側でセキュリティ対策が行われますが、独自に開発したものに関しては自社でセキュリティホールを見つけるしかありません。特に自社のwebサイトを開設している企業にとって、WAF導入前にwebアプリケーションの脆弱性診断は必須です。WAFを提供しているセキュリティベンダーの多くは脆弱性診断も併せて提供しているケースが多いため、WAF導入とあわせて相談してみるのもおすすめです。

3-3.セキュリティソフトを導入する

セキュリティ対策ソフトのインストールは必須です。コンピュータウイルスから守る機能はもちろんですが、各種セキュリティホールへの対策を有したものもあり、機能面で大きく進化しています。

セキュリティベンダーによっては、無料で体験できるセキュリティソフトを提供しているところも多く、いくつかの製品を比べたうえで導入することも十分可能です。当然のことですが、OSやソフトウェアのアップデートと同様に、セキュリティソフトについても常に最新の状態にアップデートしておくことが重要です。

インターネットセキュリティの見積もりが
最短翌日までにそろう

一括見積もりをする(無料)

4.まとめ

4.まとめ

セキュリティホールは、サイバー攻撃を許す最大の要因となるものです。これまでのセキュリティホール対策といえば、セキュリティソフトの導入やソフトウェアのアップデートなどが基本でした。しかし、最近ではwebサイトを運営するユーザーも増えたことで、webアプリケーションへのセキュリティホール対策としてWAFの導入も重要となっています。

今回紹介したサイバー攻撃の手口はいずれもWAFの導入によってある程度防げるものです。webサイトを提供する側の責任として、セキュリティホールへの対策は必須の時代になりました。webサイトへの万全のセキュリティホール対策として、WAFの導入をぜひ検討してみてはいかがでしょうか。

アイミツ

著者

imitsu編集部

運営に関するお問い合わせ、取材依頼などはお問い合わせページからお願い致します。

アイミツに貴社を掲載しませんか

インターネットセキュリティの見積もりが最短翌日までにそろう