{{ message }}
Article square balloon green
2017-09-15

セキュリティホール(ぜい弱性)とは | 問題・対策・知っておくべき知識

安全にインターネットを利用・公開するため、セキュリティホール(ぜい弱性)による被害を回避するための解決法をお伝えします。
Large

セキュリティホール(ぜい弱性)とは

セキュリティホールとは、ぜい弱性とも呼ばれ、コンピュータ上で動作するOSやソフトウェアにおいて、プログラムの不具合や設計上のミス等を原因としたセキュリティ上の欠陥のことを言います。

このような欠陥があることで、どのような問題が起こり得るのでしょうか?
次にその代表例をいくつかご紹介します。

セキュリティホールによって起こり得る問題

セキュリティホールによって発生する問題をご説明します。

対象となるプログラムにおいて、メモリの扱いに問題がある場合

代表的な攻撃としてバッファ・オーバーフローがあります。
実行中のプログラムのメモリ内に攻撃者の手によるプログラムが送り込まれて実行される攻撃です。
これによって、サーバやPCにおいて、攻撃者に管理者権限を奪われたり、攻撃者の思いのままに操作されたりします。
その結果、情報流出やこの攻撃を踏み台とした他の攻撃に繋がってしまいます。

ユーザから想定外の情報(SQLコマンド)が入力されても、正しくエラー処理しない場合

起こり得る攻撃として、SQLインジェクションがあります。

Webアプリケーションではユーザからの各種情報入力を受けてサーバ側で処理し、結果をユーザに返すという処理がよく見られます。また、サーバの処理の中には、サーバやデータベースにアクセスし、情報参照・更新するものも多いです。
このような処理の過程において、攻撃者から、SQLと呼ばれるデータベース処理をするためのコマンドを含む情報が入力された後、サーバがその内容で処理することで、サーバ上でSQLが実行されてしまいます。
これにより、攻撃者は、不正なSQL実行によりデータベース内の重要情報漏えい、内容の改ざんといった攻撃を行うことができます。もう少し具体的には以下のような被害があげられます。

  • 重要情報漏えい・・・クレジット番号や個人情報の漏えい
  • Webサイトの改ざん・・・閲覧するとウイルス感染などを引き起こすスクリプトを含むWebサイトのページを表示させる改ざん

改ざん検知に有効なサービスが気になる方は、こちらをご覧ください。

Web改ざん検知とは|サービス5製品比較・種類・検知方法 | ボクシルマガジン
今回は、Webサイト改ざん検知の状況とさまざまな製品について紹介します。マルウェアなどの原因にもなり得るWebサイ...

ユーザから想定外のスクリプトが入力されても、正しくエラー処理しない場合

起こり得る攻撃として、クロスサイト・スクリプティングがあります。

掲示板サイトのような、ユーザからの入力内容をWebページに表示するWebアプリケーションにおいて、情報入力のチェックに不備があると、攻撃者が入力内容に罠を仕掛けることが可能となります。そして、それをみたユーザが誤って罠を実行すると、セキュリティ的に問題のある別のウェブサイト(クロスサイト)に対し、ぜい弱性を利用した悪意を持った実行内容(スクリプト)が含まれた通信が実行されます。これが実行された結果、偽のページがユーザに表示されます。

偽ページでは個人情報など重要な情報の入力を促す内容や、ブラウザ上から取得可能なユーザコンピュータ上の情報(Cookie等)を取得する作りとなっていて、このスクリプトが実行されると、攻撃者へ情報が流出してしまいます。

Webサーバの設定上の問題や、Webアプリケーションがアクセスできる範囲が正しく限定できていない場合

起こり得る攻撃として、強制ブラウジングがあります。

強制ブラウジングとは、Webページにアクセスする際に、公開されたページのリンクをたどるのではなく、直接URLでアクセスするという方法で、Webサイト側では公開するつもりのないディレクトリやファイル等へのアクセスを試みる、という攻撃です。

これにより、非公開領域が誤って公開設定になっていたために、公開するつもりのない情報が流出したり、公開ページにリンクが設定されていない公開領域に誤って公開すべきでない情報を配置したために、その情報が流出したりしてしまいます。

セキュリティホールへの対策

システムを利用する側としては、以下の対策が挙げられます。

システムベンダーが提供するセキュリティパッチ適用

システムベンダーが提供するアプリケーションに対しては、セキュリティパッチが提供されます。それを適用することが対策となります。

例えば、Windowsを利用している場合はWindows Updateを有効にしておき、Microsoftからセキュリティパッチが提供された場合はできるだけ早くそのパッチを適用します。

また、WindowsのようなOSだけでなく、各種ミドルウェアやアプリケーション、アドインソフトにも注意が必要です。最近特に注意が必要なのが、Adobe Flash Playerです。ブラウザのバナー再生のためにインストールされている場合がありますが、頻繁にセキュリティホールが見つかり、その都度セキュリティパッチが適用されているという状況です。

したがって、利用している端末にどのようなアプリケーションが導入されているかを知り、それらの最新パッチが提供されていないか定期的に確認することが望ましいといえます。

インストールされたアプリケーションの一覧とバージョンは、例えばWindowsでは「コントロールパネル」→「プログラムと機能」で確認ができます。

セキュリティ対策ソフトの導入

セキュリティ対策ソフトを導入することで、少なくとも既知の攻撃に対しては防御することが可能なので、必ず導入しておきます。

そして、セキュリティベンダーが提供する最新のパッチを常に適用しておかなければなりません。適用によって初めて効果を十分に発揮します。

Webアプリケーションを公開する側の対策

次に、Webアプリケーションを公開する側の対策としては、安全なアプリケーションを作成することが最優先に実施すべき事項です。
セキュリティ対策に有効なサービスが気になる方は、こちらをご覧ください。

ネットワーク監視ツール17選|フリーソフト・フリーシステムなど | ボクシルマガジン
ネットワーク監視を行っていますか?ネットワークセキュリティにおいては外部からの侵入のみならず、内部のサーバ障害やネ...

安全なアプリケーションとは、ユーザからの入力された情報は必ずチェックし、想定外の情報が入った場合は正しくエラー処理をするもののことです。このようにして、攻撃者から悪意あるスクリプトやコマンドが入力されてWebサーバ上で実行されないようにします。

また、WAF(Web Application Firewall)を導入することも効果的です。WAFには既知のセキュリティホールに対する攻撃パターンが設定されており、そのパターンに当てはまるアクセスを防御することができます。
WAFのフリーソフトが気になる方は、こちらをご覧ください。

セキュリティ対策の重要機能!ファイアウォールのフリーソフト4選!! | ボクシルマガジン
ファイアウォールは本当に必要?フリーのファイアウォールソフトを入れたいという声をよく聞きますが、本当に入れるメリッ...

WAFの詳しい解説が気になる方は、こちらをご覧ください。
ファイアウォールとは?セキュリティ初心者のためにわかりやすく解説|基礎知識 | ボクシルマガジン
セキュリティ対策機能のひとつであるファイアウォールについて、詳しく知らない方のためにわかりやすく解説しています。フ...

さらに、WAFに併せて、ぜい弱性検査を実施することも必要です。WAFは攻撃があって初めて効果を発揮するものですが、ぜい弱性検査はまだ攻撃にあっていない間に存在する潜在的なセキュリティホールを見つけて、攻撃される前に対策することができるためです。

セキュリティホールに関してさらに知っておきたいこと

セキュリティホールとはどのようなものか、そしてそれが存在することでどのような問題が発生するかを説明しました。

ここでは、システム利用側、アプリケーション提供側、双方の対策をご紹介してきました。

最後に、こうしたセキュリティホールに対峙するに当たって、以下の頻出用語を知っておくとよいでしょう。

【ゼロデイ攻撃】

ぜい弱性を修正するためのセキュリティ更新プログラムが提供されてから0日まで、つまり、提供される前までに脆弱性を悪用した攻撃が行われることをいいます。

更新プログラムが提供される直前であればまだ深刻ではないのですが、問題なのは更新プログラム提供元がぜい弱性に気づかず、攻撃者だけがその存在を知っている状況が長期化した場合です。

その後ぜい弱性が判明しても、更新プログラムが提供されるまで時間を要するため、その間は脆弱性に関わる操作を制限せざるを得ない状況となります。

【エクスプロイト(exploit)】

ソフトウェアの脆弱性を利用したソースコードのことを指しますが、それを使って攻撃するといった意味もあります。

その他のサイバー攻撃が気になる方は、こちらも併せてご覧ください。

サイバー攻撃とは?様々な手口・手法を一挙解説 | ボクシルマガジン
実は意外に身近なサイバー攻撃、知っておくだけでも意味があります。でも実際どういったものなんでしょうか。今回はサイバ...

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

また、マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得することができます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article whitepaper bgS3 0
勤怠管理システム
選び方ガイド
資料請求後に下記のサービス提供会社、弊社よりご案内を差し上げる場合があります。
株式会社Donuts、株式会社ネオキャリア
利用規約とご案内の連絡に同意の上
Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
新着情報やお得な情報をメールでお届けします!
{{ message }}
ご登録ありがとうございました!
御社のサービスを
ボクシルに掲載しませんか?
月間100万PV
掲載社数1,000
商談発生10,000件以上
あなたにオススメの記事
編集部からのオススメ