コピー完了

記事TOP

セキュリティホールとは - 対策 | 攻撃の種類を解説

最終更新日:
公開日:
セキュリティホール(ぜい弱性)とは、コンピュータにおいてシステムの設計ミスや誤ったプログラムによって生じるセキュリティ上の欠陥を表します。そんなセキュリティホール対策や攻撃の種類を解説。

セキュリティホールとは

セキュリティホールとは、OSをはじめとしたコンピュータのシステムにおける、設計ミスや誤った設定で生じるセキュリティ上の欠陥です。ぜい弱性と広義では同じ意味であるものの、狭義ではセキュリティホールが人為的なミスや欠陥を表すのに対し、ぜい弱性は設計に間違いがなくとも生じてしまう弱点をさします。

セキュリティホールによる弱点をついた攻撃は、エクスプロイトと呼ばれることもあります。あわせて確認しましょう。

セキュリティホールをついた攻撃手法

セキュリティホールによって発生する問題を説明します。

バッファー・オーバーフロー

バッファー・オーバーフローとは、バッファと呼ばれる記憶領域に上限以上のデータを送り込み、コンピュータの誤動作や破壊を促す攻撃です。攻撃者に管理者権限を奪われたり、攻撃者の思いのままに操作されたりします。情報流出や他の攻撃につながることから危険とされています。

SQLインジェクション

SQLインジェクションとは、SQLと呼ばれるデータベース処理をするためのコマンドを意図的に作り送り込むことでデータベースの改ざんや取得、破壊する攻撃です。

Webアプリケーションではユーザからの各種情報入力を受けてサーバー側で処理し、結果をユーザに返すという処理がよく見られます。サーバーの処理の中には、サーバーやデータベースにアクセスし、情報参照・更新するものも多いです。

このような処理の過程において、攻撃者がSQLを実行した結果、データベース内の情報漏えい、内容の改ざんといった攻撃がなされます。もう少し具体的には次のような被害があげられます。

  • 重要情報漏えい:クレジット番号や個人情報の漏えい
  • Webサイトの改ざん:閲覧するとウイルス感染などを引き起こすスクリプトを含むWebサイトのページを表示させる改ざん

改ざん検知に有効なサービスが気になる方は、こちらをご覧ください。

クロスサイト・スクリプティング

クロスサイト・スクリプティングとは、他サイトにて罠にはめたユーザーからコンピュータの情報を盗み、サイトへアクセスしたり改ざんしたりできるようにする手法です。

掲示板サイトのような、ユーザからの入力内容をWebページに表示するWebアプリケーションにおいて、情報入力のチェックに不備があると、攻撃者が入力内容に罠を仕掛けられます。

そして、それをみたユーザが誤って罠を実行すると、セキュリティ的に問題のある別のウェブサイト(クロスサイト)に対し、ぜい弱性を利用した悪意を持った実行内容(スクリプト)が含まれた通信が実行されます。これが実行された結果、偽のページがユーザに表示されます。

偽ページでは個人情報など重要な情報の入力を促す内容や、Cookieをはじめブラウザ上から取得可能なの情報を取得する作りとなっていて、このスクリプトが実行されると、攻撃者へ情報が流出してしまいます。

強制ブラウジング

強制ブラウジングとは、とあるURLへアクセスさせることで情報を漏えいさせる攻撃です。

強制ブラウジングとは、Webページにアクセスする際に、公開されたページのリンクをたどるのではなく、直接URLでアクセスするという方法で、Webサイト側では公開するつもりのないディレクトリやファイルなどへのアクセスを試みる、という攻撃です。

これにより、非公開領域が誤って公開設定になっていたために、公開するつもりのない情報が流出したり、公開ページにリンクが設定されていない公開領域に誤って公開すべきでない情報を配置したために、その情報が流出したりしてしまいます。

ゼロデイ攻撃

ゼロデイ攻撃とは、ぜい弱性を修正するためのセキュリティ更新プログラムが提供されてから0日まで、つまり、提供される前までにぜい弱性を悪用した攻撃が行われることをいいます。バッファー・オーバーフローのように攻撃の方法を指した言葉ではなく、攻撃までの時間に言及した言葉です。

更新プログラムが提供される直前であればまだ深刻ではないのですが、問題なのは更新プログラム提供元がぜい弱性に気づかず、攻撃者だけがその存在を知っている状況が長期化した場合です。

その後ぜい弱性が判明しても、更新プログラムが提供されるまで時間を要するため、その間はぜい弱性に関わる操作を制限せざるを得ない状況となります。

セキュリティホールへの対策

システムを利用する側としては、次の対策が挙げられます。

バージョンをアップデート

システムベンダーが提供するアプリケーションに対しては、セキュリティパッチが提供されます。それを適用することが対策となります。

たとえば、Windowsを利用している場合はWindows Updateを有効にしておき、Microsoftからセキュリティパッチが提供された場合はできるだけ早くそのパッチを適用します。

また、WindowsのようなOSだけでなく、各種ミドルウェアやアプリケーション、アドインソフトにも注意が必要です。最近特に注意が必要なのが、Adobe Flash Playerです。ブラウザのバナー再生のためにインストールされている場合がありますが、頻繁にセキュリティホールが見つかり、その都度セキュリティパッチが適用されているという状況です。

したがって、利用している端末にどのようなアプリケーションが導入されているかを知り、それらの最新パッチが提供されていないか定期的に確認することが望ましいといえます。

インストールされたアプリケーションの一覧とバージョンは、たとえばWindowsでは「コントロールパネル」→「プログラムと機能」で確認ができます。

セキュリティ対策ソフトの導入

セキュリティ対策ソフトを導入することで、少なくとも既知の攻撃に対しては防御可能なので、必ず導入しておきます。

そして、セキュリティベンダーが提供する最新のパッチを常に適用しておかなければなりません。適用によって初めて効果を十分に発揮します。

セキュリティホールへの対策(ベンダー)

次に、Webアプリケーションを公開する側の対策としては、安全なアプリケーションを作成することが最優先に実施すべき事項です。セキュリティ対策に有効なサービスが気になる方は、こちらをチェックしてください。

安全なアプリケーションとは、ユーザからの入力された情報は必ずチェックし、想定外の情報が入った場合は正しくエラー処理をするもののことです。このようにして、攻撃者から悪意あるスクリプトやコマンドが入力されてWebサーバー上で実行されないようにします。

また、WAF(Web Application Firewall)を導入することも効果的です。WAFには既知のセキュリティホールに対する攻撃パターンが設定されており、そのパターンに当てはまるアクセスを防御できます。

さらに、WAFにあわせて、ぜい弱性診断を実施することも必要です。WAFは攻撃があって初めて効果を発揮するものですが、ぜい弱性診断はまだ攻撃にあっていない間に存在する潜在的なセキュリティホールを見つけて、攻撃される前に対策できるためです。

セキュリティホールは未然にふさいでおく

セキュリティホールとはどのようなものか、そしてそれが存在することでどのような問題が発生するかを説明しました。また、システム利用側、アプリケーション提供側、双方の対策を紹介してきました。

セキュリティホールは、セキュリティソフトや診断ツールによってある程度は予防が可能です。甚大な被害を引き起こす前にいまのうちからできる対策を打っておきましょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

脆弱性(セキュリティ)診断
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
編集部のおすすめ記事
脆弱性(セキュリティ)診断の最近更新された記事