セキュリティ業界の人がよく言う「脆弱性」という言葉。

何となく意味はわかるけど、ちゃんと答えられる人は少ないのではないでしょうか。
今回は脆弱性という言葉を取り上げて、脆弱性を悪用した情報漏洩事例と、「脅威」や「セキュリティホール」との違い、そして脆弱性対策の方法について紹介します。

脆弱性とは

脆弱性」と聞いても、「何となく悪いイメージ。。。」くらいにしかわからない方も多いので、まずはじめにしっかりと理解しておきましょう。

外部からの不正アクセスに対してシステムの安全性が損なわれている状態、セキュリティ上の欠陥のこと。ソフトウェアやハードウェアのバグによってできるセキュリティホールが代表的なものだが、機密情報・重要情報に対する管理体制の甘さも一種の脆弱性と考えられる。

と定義されています。

一般に脆弱性というと情報システム上の問題点と思われがちですが、サーバーの設置されている部屋のドアや窓に施錠がされていないなどの物理的な保護の欠如や、バックアップ媒体の保管や管理が適切に行われていないなどの運用上の問題点も脆弱性の一つとして該当します。

もし脆弱性が見つかってしまったら、しっかりと対策を取る必要があります。脆弱性を放置してしまうと、悪意のある第三者が脆弱性を悪用して、本来できないはずの操作を行ったり、見られてはいけない情報が漏洩するなどの不具合が発生し、さらにマルウェアに感染したり、不正アクセスを許してしまう状態になることもあります。

脆弱性ができる原因

脆弱性が発生する原因として以下の要因が考えられます。

  • システムを設計するときの予測不足
  • プログラムのコーディングミスや設定のミス
  • 故意にしかけられた弱点

などです。

脆弱性の一つとして想定外の入力に対する対策の不備があります。例えばソフトウェアの開発において、外部から入力されるデータのチェックは必ず行われるテスト手法です。そして、ソフトウェアに脆弱性があることを想定して、チェックを完璧にすれば脆弱性はなくなるという考え方もありますが、それだけでは不十分です。

なぜなら脆弱性を悪用する攻撃者はソフトウェアに対する新しい攻撃手法を生み出しており、システムの運用中に想定外の脆弱性が発覚することも考えられるからです。

またシステムに脆弱性が発生する原因は局所なものばかりではありません。設計・実装・運用といったシステム開発における上流工程から下流工程にかけて発生することもあり、特に上流工程で発生した脆弱性に関しては下流工程でフォローすることは困難です。そのため、システム開発においては上流工程から十分に脆弱性対策に考慮して開発することが求められています。

脆弱性による情報漏洩事例

脆弱性を悪用した情報流出の事故は毎日のように報じられています。実際に発生した情報流出事例を3つ紹介します。

企業名 メニコン
概要 エースコンタクト会員サイトから3,412件の個人情報流出、600万円超のカード不正利用被害も発生
時期 2017年12月17日~2018年3月27日(2018年5月17日発表)
被害内容 レンズ販売子会社のダブリュ・アイ・システムが運営する会員専用サイト「A-Web倶楽部」が外部から不正アクセスを受け、顧客のクレジットカード情報が流出した。情報流出により、27人が約668万円の不正利用被害(5月2日時点)に遭った。
企業名 幻冬舎
概要 幻冬舎、不正アクセスにより会員情報9万3千件流出
時期 2017年3月30日~8月18日(2018年1月15日発表)
被害内容 Webサイト「幻冬舎plus」の脆弱性を突かれ、2013年11月12日から2017年8月18日までの間に会員登録した最大9万3014人についてメールアドレス、ユーザーID、名前の情報が流出した可能性がある。
企業名 米Equifax
概要 約1億4,300万人の大規模情報漏洩-米国の大手信用情報機関「Equifax」
時期 不明(2017年9月13日発表)
被害内容 9月6日に公表した個人情報漏洩事件の原因は、Apache Struts2の脆弱性だった。事件では、米国やカナダ、英国の顧客1億4300万人分の個人情報が漏洩した可能性がある。

これら3つの情報漏洩事例に共通している点は、サービスを提供しているサーバーで使われているプログラムの脆弱性を悪用されたことで発生した事例だということです。特にApache Struts2の脆弱性を悪用した事例は世界的にも話題になりました。情報処理推進機構では「Apache Struts2 の脆弱性対策情報一覧」のページを公開し、脆弱性対策情報一覧のリンク集を掲載し注意を喚起しています。

参考Apache Struts2 の脆弱性対策情報一覧

脅威と脆弱性の違い

脅威とは情報システムや組織に対するセキュリティ事故の潜在的な要因です。

脆弱性とは脅威によって利用される弱点の事を指し、脅威と脆弱性は上記のように区別されます。脅威には「人為的な脅威」と「環境的な脅威」
の2つに分類されます。さらに「人為的な脅威」は「意図的な脅威」と「偶発的な脅威」に分かれます。

脅威と脆弱性が結びつく事で「リスク」が発生します。リスクとは、ある脅威が脆弱性を利用して損害を与える可能性の事を指します。さらに損害の大きさは「情報資産の価値」で決まります。これらを数式で表現すると、以下のようになります。

情報セキュリティリスクの大きさ = 情報資産の価値 × 脅威の大きさ × 脆弱性の度合い

このようにリスクの大きさを定量的に評価することで、リスクの大きさに応じた情報セキュリティ対策を立てる必要があります。

セキュリティホール(バグ)と脆弱性の違い

セキュリティホールとはソフトウェアが持つバグ(不具合)のことです。

本来できないはずの操作ができてしまったり、閲覧できてはならない情報が閲覧できてしまったりと、ソフトウェアにて発生している欠陥のことをセキュリティホール(バグ)と言います。これはプログラムのコーディングミスや設定ミスなどによって発生します。

一方、脆弱性はセキュリティホールとよく似た意味で使われることが多い言葉です。しかし脆弱性はセキュリティホールとは異なり、ソフトウェア上での単純な欠陥ではなく、仕様通りに作られたものであっても、外部からの攻撃に対して弱点となる点があれば、それは脆弱性と呼ばれます。正常な機能として開発された機能でも、意図せずに外部から悪用される事があれば、それは脆弱性ということになります。

脆弱性の対策

これまで紹介してきたように、情報システムやソフトウェアに存在する脆弱性を悪用した事故は後を絶ちません。それでは情報システムの開発者やユーザーはどのように脆弱性に向き合えばよいのでしょうか。ここでは脆弱性に対する2つの対策について紹介します。

使用しているソフトウェアやそのバージョンを把握しておく

パソコンで使われているOSやインストールされているソフトウェアのバージョンを把握しておくことが重要です。また使用しているソフトウェアの最新バージョンがリリースされたら、すぐにアップデートするようにしましょう。

MS OfficeやWindowsではWindows Updateという機能を利用することでソフトウェアを最新のバージョンに保つことができます。またAdobeのソフトウェアでも同じようなアップデート機能が用意されています。またFlash Playerの脆弱性はいまだに多く、あまり使われなくなった現在でも頻繁にアップデートが行われています。

脆弱性情報は複数の報道を見た上で、必ず一次情報を確認する

ソフトウェアの脆弱性が明らかになると、各種のニュースサイトで取り上げられることがあります。脆弱性の報道に関しては複数の報道を確認した上で、必ず一次情報にあたることが重要です。日本語で読むことができる一次情報として利用できる脆弱性ニュースサイトをいくつか紹介します。

マイクロソフト セキュリティ情報

マイクロソフト関連のセキュリティ更新プログラムを毎月定期的に配信しているサイトです。
マイクロソフト関連の製品を使っている方は多いかと思いますので、ぜひここで最新のセキュリティ情報をチェックしましょう。
ここではお使いのコンピューターのセキュリティを高めるためのプログラムをダウンロード、インストールが可能です。

URLhttps://portal.msrc.microsoft.com/ja-jp/security-guidance

JVN(Japan Vulnerability Notes)


JVN は、"Japan Vulnerability Notes" の略で、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。
脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。

JVN では、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表しています。掲載内容は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります。

URLhttps://jvn.jp/

JVN iPedia 脆弱性対策情報データベース


上記の「JVN」に掲載される脆弱性対策情報のほか、国内外問わず日々公開される脆弱性対策情報のデータベースです。
知りたい脆弱性情報を検索が可能です。
URLhttps://jvndb.jvn.jp/

JPCERT/CC


JPCERT/CC(ジェーピーサート/シーシー)は、「一般社団法人 JPCERTコーディネーションセンター」の略称で、コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人のこと。上記はその公式サイトです。

サイバー攻撃に関する様々な調査研究を行っているJPCERT/CCが、深刻で影響範囲の広い、情報セキュリティ上の脅威など最新のセキュリティ情報を配信していたり、ソフトウェアなどの脆弱性と対策情報をJVNより提供しています。

URLhttps://www.jpcert.or.jp/

脆弱性に関する情報は上記のようにかず多く存在しています。
ご利用中のOS、ソフトウェアなどに関して少しでも不安なことがあれば、上記サイトにて最新の情報と入手して安全な環境を心がけましょう。

無料・有料のセキュリティ診断(脆弱性診断)を受けてしっかりと把握しておく

上記の情報と元に、脆弱性のない状況をキープしていてもやはり不安はありますよね。
そのような場合は、一度しっかりとチェックすることをオススメています。
無料・有料など含め色々なツールやサービスで脆弱性をチェックすることが可能ですので、下記の記事を参考に脆弱性診断をしてみると良いでしょう

会社のWEBサイトやネットワークのセキュリティが大丈夫か心配! という方の多くは、「セキュリティ・脆弱性診断ツール・サービス」の使用を考えますが、実際どのツール・サービスを利用すれば良いかわからない。という方も多いようです。ある程度知識があれば無料ツ...

また、上記記事でも「どれを実施したら良いかわからない」という方は、下記の診断を実施してみることをお勧めします。
他社と比較すると価格も抑えられ、しっかりと手動でのセキュリティチェックを行ってくれるサービスですので、一度実施しておけば専門家の意見も聞けて安心です。

アルファネットのセキュリティ診断が選ばれる3つの理由 安心数多くの項目(幅広さ)を細部(深さ)に渡り診断!脆弱性を洗い出します!→詳細はこちら 高品質専門家による手動診断を採用!ツール診断よりも高品質な診断を実現→詳細はこちら 分り易さ危険度別に分か...

まとめ

情報システムの脆弱性を狙う攻撃者は、常に攻撃対象となる欠陥を探しています。脆弱性が一切存在しない情報システムをリリースすることは、現状ではほぼ不可能です。そのため情報システムを運用するにあたり、脆弱性の発覚と対策の連鎖は終わることはがありません。

セキュリティ対策は確かにコストとなりますが、情報システムにおける付加価値として真摯に取り組むことで、大きな損害を予防するための活動につながります。

脆弱性情報を日々確認し適切なセキュリティ対策を施していくことが、情報システムを運用する上で重要な活動であるといえるでしょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?