OS・ソフトウェアにおける脆弱性とは?

コンピュータの世界における脆弱性とは、コンピュータのOSやソフトウェアのプログラム内のバグや欠陥により、他者がアクセスできるようになるなどの欠陥が存在することを言います。

この脆弱性は、WindowsやLinuxなど世界的に企業や家庭で多く利用されているOSやMicrosoft Officeなどのビジネスソフトウェアにも例外なく発見されています。

脆弱性の問題点とは?

この脆弱性がなぜ問題なのでしょうか。

コンピュータのプログラムに存在するこういった脆弱性はハッカーの不正アクセスに利用されたり、マルウェアやスパイウェアなどのコンピュータウィルスに対する感染の足がかりにされたりするのです。
また、Webサイトの不正アクセスや改ざんなどもこれに起因する問題です。

不正アクセスや、コンピュータウィルスの目的のかなりの部分を占めるのが情報の取得です。
スパイウェアなどでは、コンピュータ上にあるファイルや情報を意図的に外部に送信したりするものも多くあります。

つまり、こういった不正アクセスを受けたり、コンピュータウィルスに感染したりということは、様々な情報の漏洩につながる可能性が非常に高くなるということなのです。

脆弱性による情報漏洩の事例

Identity theft on the web with credit cards and social security

こういった脆弱性による情報漏洩事件としては、例えば2011年4月に発生したソニーのPlaystation Networkによる7700万件もの個人情報が流出した事件があります。

この事件では、当該個人情報を管理するサーバに脆弱性に関する問題があったにもかかわらず、これに対して対処が出来ていなかったため、外部からの不正アクセスを許し、その結果、多くの情報が流出してしまったというものです。

これに対して情報を流出させてしまったソニー側は、個人情報1件あたり最大100万ドルの補償を行う結果となりました
このように脆弱性からくる問題事例は過去にも発生しており、大きな問題となり当事者企業に大きな損害を与える結果となっています。

情報漏洩が企業へもたらすもの

こういった脆弱性の問題に起因する情報漏洩について言えることは「被害者は加害者である」ということです。

どういうことかというと、Webサイトへの改ざんややコンピュータウィルスの感染により情報漏洩を引き起こしてしまった企業は、「改ざんされた」あるいは「感染してしまった」という一面では、「被害者」と言えます。

しかし、顧客情報など重要な情報を漏洩してしまった以上、情報を漏洩されてしまった被害者から見ると「加害者」としての側面も持つのです。
そのため、改ざんや感染の被害を受けたにも関わらず、情報の漏洩に対して信頼の失墜や、裁判により巨額の賠償を請求される例が後を絶ちません。

例えば2013年の米国の大手スーパーTargetでのカード情報漏洩では、4000万件のクレジットカードの情報が漏洩した結果、最大36億ドルの賠償金が支払われることとなりました。

脆弱性による被害を受けないための3つの初期対策とは?

もちろん、ソフトウェアベンダー側もこの現状に手をこまねいているわけではなく、脆弱性や不具合が発見され次第、修正プログラムやパッチを提供し、更新を行うようにアナウンスをしています。

また、シマンテック社やトレンドマイクロ社などの大手のセキュリティベンダーは各社が扱うセキュリティ対策ソフトウェアにて、これらの脆弱性や不具合を利用して不正なアクセスや情報取得、プログラムの改ざんを行うようなコンピュータウィルス等の探索を行うとともに発見次第、各対策ソフトウェアで駆除するとともに情報周知を広く行っています。
私たち利用者の側が行える対策は、従って次の通りとなります。

  1. 更新プログラムをこまめに適用する
  2. セキュリティ対策ソフトウェアを導入する
  3. 怪しいウェブサイトを閲覧しない、怪しいプログラムをインストールしない

上記に加えて、ゼロデイ攻撃と呼ばれるのですが、ある脆弱性が発見されてから、OSやソフトウェアのベンダー、あるいはセキュリティ対策ソフトウェアのベンダーが対策を行うまでに、その脆弱性を利用して不正アクセス等を行うものがあります。
これについては、これをやれば確実に大丈夫という対策はありません。

おわりに

コンピュータプログラムの脆弱性と、それによってもたらされるWebサイト等の脆弱性の問題、そしてそれに伴って発生する不正アクセスや、情報漏洩といった問題は、これをやったから必ず解決するというものではありません。

新たな脆弱性が発見されれば、それを利用し不正を働く者がいる、まさにいたちごっことも言えるでしょう。
しかし、その中で、我々に出来ることは、先に掲げた3つの事柄であり、それを確実に実行することでリスクは最小限に減らすことが出来ます。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。