サイバーセキュリティ上の脆弱性が発生する原因とその対策

【初めてサイバーセキュリティ対策】 サイバーセキュリティにおける脆弱性を放置していると、不正アクセスや情報漏洩などのリスクが高まります。詳細がわからないと感じていても放置することはできません。ここでは、サイバーセキュリティにおける脆弱性の概要と脆弱性が発生する原因、脆弱性に対処する方法などを解説しています。以下の情報を参考にすれば、全体像を把握できるはずです。理解を深めたい方は参考にしてください。

 

【基礎知識】そもそも脆弱性とは？

日常生活で用いられる「脆弱性」は、もろくて弱い性質を表します。サイバーセキュリティで用いられる場合、どのような意味になるのでしょうか。
サイバーセキュリティにおける脆弱性は、OS・ハードウェア・ソフトウェアの設計ミス、バグ、管理・運用体制上の問題などが原因で生じたサイバーセキュリティ上の欠陥と考えられています。悪意のある第三者から、不正アクセスをされたりコンピューターウイルスに感染させられたりしやすい状態（攻撃を受けやすい状態）ということもできます。

ここでいうサイバーセキュリティ上の欠陥は、OSはもちろん、ハードウェア、ソフトウェアなどさまざまな場所に存在します。これらを解決するため、メーカーはアップデートを行いますが、それでもすべての脆弱性を解決できるわけではありません。また、悪意のある第三者は、対策が講じられていない脆弱性や未発見の脆弱性を探して攻撃を仕掛けようとします。緊急性が高いなどの理由で、事業者がアップデートの前に脆弱性に関する情報を公開すると、これを利用して大規模な攻撃が行われることもあります。被害に遭うと、その影響は広範囲にも及ぶケースが少なくありません。

企業の担当者などは、脆弱性が生じる原因、脆弱性を放置するリスクなどを理解して、適切に対処する必要があります。

 

脆弱性とセキュリティホールの違い

脆弱性とよく似た言葉として「セキュリティホール」があげられます。セキュリティホールの意味は、用いる人、あるいは用いる場面で異なります。一般的には、脆弱性と同じ意味で用いられています。 [1]この場合、セキュリティホールは、OS・ハードウェア・ソフトウェアの設計ミス・バグで生じたセキュリティ上のリスクや仕様上のミスがないものに生じたセキュリティ上のリスクなどを含む幅広い概念になるでしょう。
一方で、脆弱性とセキュリティホールは別のものとする意見もあります。両者を区別する場合、セキュリティホールは設計ミスなどに起因するバグを指します。また、脆弱性はセキュリティホール（攻撃に利用されるバグ）を含む概念になります。つまり、設計ミス・バグの有無にかかわらず、攻撃の標的になる弱さを指します。具体的には、設計ミス・バグ、想定外の利用法、管理体制の問題など、悪意のある攻撃を受けやすい状態といえるでしょう。

以上の通り、脆弱性とセキュリティホールは、同じ意味で用いられることもあれば別の意味で用いられることもあります。一概に、どちらが正しいということはできません。用いられ方に幅があることを押さえておくことが重要です。

 

脆弱性が生じる原因

脆弱性を管理するうえで理解しておきたいのがこれを引き起こす原因です。原因がわかれば、具体的な対処法もたてやすくなります。
原因のひとつとしてあげられるのが、設計や実装に関連する問題です。例えば、設計時に外部から入力されるデータの予測が不十分だったなどが考えられます。予測を完璧に行えば脆弱性をなくせますが、完璧な予測は不可能といえるでしょう。ソフトウェアなどの使い方が多様化しているうえ、設計時はなかった技術が登場して新たな脆弱性が露呈することや悪意のある第三者が新しい攻撃方法を開発することなどがあるからです。同様に、設計時のミスも脆弱性の原因になりえます。

これらの問題に対処するため行われるのがアップデートです。開発段階ですべての脆弱性を除外することはできないため、大手メーカーなどはアップデートで顕在化した脆弱性に対処しています。ただし、ユーザーが必要性を理解して適用するとは限りません。動作が遅くなる、必要性がわからないなどの理由で適用されないこともあるのです。このようなケースでは、顕在化している脆弱性が放置されることになります。脆弱性を狙われるリスクが高くなってしまいます。

 

脆弱性を突かれることで生じるリスク

脆弱性を抱えていると、さまざまなリスクが生じます。注意したい主なリスクは以下の4つです。

 

社内ネットワークやクラウドシステムなどに侵入される

ひとつ目のリスクは、外部からネットワーク、あるいはクラウドシステムなどへ侵入されることです。進入を許してしまうと、データを破壊されたりWebページを改ざんされたりする恐れがあります。あるいは、重要な情報を盗まれることや悪意のあるプログラムなどを設置されることも考えられます。具体的なイベントはケースで異なりますが、不利益をもたらされることが多いでしょう。

意外かもしれませんが、専用ツールを使えば脆弱性を抱えるプログラムは容易に発見できます。脆弱性に気づいていないと、あるいは脆弱性を放置していると、ネットワークへの侵入を試みられるリスクが高まります。また、ターゲットを絞ったうえで、悪意のあるプログラムを組み込んだファイルを送信してくるケースもあります。気づかずに開くと、プログラムが実行されてネットワークへの侵入を許すことになってしまいます。以上からわかる通り、悪意のある第三者は、さまざまな脆弱性を使って侵入を試みます。リスクがあることを踏まえて対処することが重要です。

 

データが盗まれる

ふたつ目のリスクは、データが盗まれることです。代表的な手法として、SQLインジェクションがあげられます。SQLはデータベースを操作するための言語のひとつ、インジェクション（injection）は注射を意味する単語で、情報セキュリティで用いられる場合は文字列の入力を受けるプログラムに対して不正な文字列を入力してデータを盗んだりデータを改ざんしたりする攻撃手法です。
つまり、SQLインジェクションは、想定外のSQL文を実行させてデータベースを不正に操作する攻撃といえるでしょう。データベースを使用するWebアプリケーションが、SQL文組立方法に問題を抱えていると、不正に操作される恐れがあります。想定されるリスクは、データベース上の非公開情報を閲覧される（情報漏洩）、データベース上の情報を改ざん・消去される（Webページの改ざんや意図しないパスワードの変更など）などです。仕組みは単純ですが、大きな損害をもたらす恐れがある攻撃手法と考えられています。

SQLインジェクションのほかでは、クロスサイトスクリプティングの脆弱性にも注意しなければなりません。クロスサイトスクリプティングの脆弱性は、HTTPヘッダ情報やユーザーの入力内容をWebページとして出力するWebアプリケーションが、この出力処理に問題を抱えていると、当該Webページにスクリプトなどを設置されてしまうことです。不正なスクリプトが実行されると、偽のページが表示されたり個人情報を含むCookieを取得されたりする恐れがあります。

 

情報が改ざんされる

3つ目のリスクは、悪意のある第三者により情報を改ざんされるリスクです。原因のひとつとしてあげられるのがWebサイトの脆弱性です。例えば、SQLインジェクションで、データベース内の情報を改ざんされるなどが考えられます。
同様に、アカウントの乗っ取りも原因になりえます。FTPアカウント情報が盗まれると、正規の手続きでWebサイトを改ざんされる恐れがあります。正規の手続きを踏むため、具体的な被害が報告されるまで発覚しにくい点がポイントです。アカウントの乗っ取りは、マルウェアへ感染させることなどで行われます。

情報改ざんの内容はケースで異なりますが、Webサイトの訪問者を悪意のあるWebサイトへリダイレクトする、Webサイト内にマルウェアを設置するなどが考えられます。また、決済情報（クレジットカード情報）を外部へ送信することも可能です。

大きな被害につながることもあるため十分な注意が必要といえるでしょう。

 

マルウェアに感染する

4つ目のリスクは、マルウェアに感染しやすくなることです。マルウェアは、有害な動作を目的として作成されたソフトウェア・コードを指します。基本的にはコンピューターウイルスと同義で用いられますが、厳密にはトロイの木馬、アドウェア、スパム、ワームなども含みます。
マルウェアの感染経路はさまざまですが、OSなどの脆弱性を狙って感染させるものもあります。マルウェアに感染すると、パソコンが立ち上がらなくなる、ファイルを改ざんされる、重要な情報が流出するなどの恐れがあります。また、パソコンやサーバを不正に操作されて（乗っ取られて）攻撃に利用されることもあります。感染すると、自覚できる症状が必ず現れるわけではありません。気づかない間に情報が流出していたなどのケースもあるため注意が必要です。

 

脆弱性の基本的な対策

残念ながら、対策を講じてもすべての脆弱性を取り除くことはできません。しかし、脆弱性を管理してリスクをコントロールすることはできます。必要な取り組みを着実に行っていくことが大切です。ここでは、脆弱性の基本的な対策を紹介します。

 

最新情報を収集する

基本の対策のひとつが、セキュリティ情報の収集です。とはいえ、どの情報を集めればよいかわからない方は多いでしょう。優先的に収集したい情報は「脆弱性に関する情報」や「最新の攻撃手法」などです。

脆弱性に関する情報は、JVN iPedia(脆弱性対策情報データベース)で集められます。JVNは、国内で使用されているソフトウェアなどの脆弱性に関する情報とその対策情報を提供するポータルサイトです。脆弱性が認められた製品、バージョン、脆弱性の詳細、分析結果、開発者により提供された対策などの情報を掲載しています。また、JPECERT CCでは、インターネット上の攻撃動向や脆弱性関連情報などを収集できます。これらに加え、メーカーの公式サイトなどから情報を集めて対策を講じることが重要です。

 

定期的に脆弱性診断（セキュリティ診断）を行う

できる対策をしているつもりでも、漏れが発生してしまうケースは少なくありません。そこで定期的に取り組みたいのが脆弱性診断です。脆弱性診断は、見過ごしている脆弱性を発見する取り組みといえるでしょう。定期的に行うことで、サイバーセキュリティ上のリスクをコントロールしやすくなります。

具体的な方法は、脆弱性診断ツールの導入、専門家による手動診断にわかれます。前者の長所は手軽さ、後者の長所は精度の高さです。これらを組み合わせて実行することもできます。ただし、専門家による診断は割高になりやすい傾向があります。脆弱性診断ツールをベースに必要に応じて手動診断を組み合わせると、コストを抑えつつセキュリティを高めやすくなります。

 

ハードウェアとソフトウェアを正しく管理する

ハードウェア・ソフトウェアの適切な管理も欠かせません。基本の取り組みといえるのが、アップデートの確認と適用です。必要が認められる場合は、速やかにアップデートを行います。ツールなどでアップデートの通知を受け取れるようにしておくと見逃しをなくせます。併せて、従業員にITリテラシー教育を行うなど、運用・管理体制も見直さなければなりません。運用・管理体制も情報セキュリティ上の脆弱性になりえます。幅広い視点で対策を講じることが大切です。

 

脆弱性対策でセキュリティを高めましょう

ここでは、サイバーセキュリティの脆弱性について解説しました。脆弱性は、OSなどの設計ミス、バグなどで生じたサイバーセキュリティ上の欠陥です。設計時の予測不足やミスなどが原因になりえます。放置していると、内部ネットワークに進入される、情報を盗まれるなどのリスクが高まるため注意が必要です。脆弱性には、情報を収集する、脆弱性診断を行う、ソフトウェアを適切に管理することなどで対処できます。この記事を参考に、セキュリティの強化を図ってみてはいかがでしょうか。

 
PCI DSSのクラウドサービスならPCI DSS Ready Cloud

 
[1][2]出典：総務省「国民のためのサイバーセキュリティサイト 脆弱性（ぜいじゃくせい）とは？」

 

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。

PCI DSSのクラウドサービスならPCI DSS Ready Cloud

ぜひ、ご相談ください。