
好きな所から読む
脆弱性とは?
脆弱性はOSやソフトウェア、アプリケーションにおける不具合や欠陥です。セキュリティホールとも呼ばれ、攻撃者はターゲット企業においてアプリケーションやソフトウェア上の脆弱性を突いたサイバー攻撃を仕掛けてきます。脆弱性の発生は設計ミス、実装ミス、検証段階におけるテスト不足などが原因です。
脆弱性を抱えている場合はアクセス権がないにも関わらず、閲覧禁止のデータファイルへのログインへや第3者にデータ内容が見えるといった不具合が発生します。
開発者にとって予測していない使われ方をしているため、改善や修正を行うには時間が必要です。
セキュリティツールの導入、社内システムを構成する機器のセキュリティ監視といった、情報資産を守るための仕組み作りが大切です。
脆弱性を完全に防ぐことはできないのか?
残念ながら脆弱性の発生を完全に防ぐことはできません。
攻撃者の知識や技術の向上と開発者が全ての範囲を完全に仕上げてクライアントに納入するのは不可能です。
企業の情報資産を狙う攻撃者は、ターゲット企業におけるシステム上の脆弱性を常に探しているだけでなく、攻撃手法の改善や工夫に余念がありません。
企業も年々セキュリティ対策を強化しているので、既存の方法に頼っていては成功する確率も落ちるからです。
また、MicrosoftをはじめとするOSベンダーは脆弱性を見つけた場合、脆弱性の内容を公開して修正プログラムを配布します。
セキュリティ担当者にとってはありがたい反面、攻撃者にとっては情報提供となる側面も持ち合わせています。
攻撃者が、公開された情報を逆手にとって新たな攻撃手法で脆弱性を突く可能性やベンダー側が把握していない脆弱性を把握していることが想定できるからです。
特にベンダー側が想定していない脆弱性を攻撃者が掴んでいる場合は、脆弱性の特定と対策に時間がかかるため、攻撃者は自由に行動ができます。
一方で、開発者の視点に立ってみると、一人で全ての工程において脆弱性への対策を高精度で行うのは困難です。
テストの検証時間が足りないだけでなく、開発当初には想定していなかった新しい方法で攻撃を受ける可能性があるからです。
脆弱性の発生を完全に防ぐのではなく、脆弱性を突かれたとしても被害を最小化するセキュリティ対策を取ることを考えるべきでしょう。
脆弱性とバクの違いは?
バグはソフトウェアやプログラム上における欠陥や不具合を指します。
バグが発生した場合、ファイルのデータ破壊やプログラムの動作不良が起こるなど、ソフトウェアが正常に動作しません。
ですが、脆弱性とは異なり外部から攻撃を受ける原因とはなりません。
脆弱性は仕様通りに正しく設計されたものでも、企業にとって攻撃者から攻撃を受ける弱点となりうる場合は、脆弱性と呼ばれます。
その点が脆弱性とバグの決定的な違いと言えます。
脆弱性を突いたサイバー攻撃の事例
脆弱性を突くサイバー攻撃を4種類紹介します。
ゼロデイ攻撃
企業のセキュリティ管理者が脆弱性を修正したプログラムを配布する前に、攻撃者からアプリケーションやソフトウェア上の脆弱性を突いた攻撃を受けることです。
脆弱性の修正作業を行う時間を「ワンデイ」とカウントし、修正プログラムの配布前に攻撃を受けるのでゼロデイ攻撃と呼ばれています。
ゼロデイ攻撃は攻撃の予兆を感じさせないだけでなく、攻撃の源となったマルウェアが検知されない限り、アプリケーションやソフトウェア内に留まります。
対策が立てづらいだけでなく、再び攻撃を受ける可能性が残るので、企業にとって最も深刻なダメージを受けるサイバー攻撃の1つとなっています。
実際に、OSで利用されているBashシェルの脆弱性を突かれたシェルショックやAdobe Flash Playerのプログラム内の脆弱性を突いたゼロデイ攻撃が過去に起きています。
クロスサイトスクリプティング
クロスサイトスクリプティングは、Twitterや掲示板サイトといったコメントを表示するアプリケーション内にスクリプトを貼って、ユーザーに罠を仕掛ける攻撃です。
スクリプトにユーザーがクリックすると、広告が何度も表示される現象や勝手にコメントを投稿されるといった、不正操作が行われます。
ユーザーを混乱に陥れ、ユーザーIDやパスワードなど個人情報を入力させて盗むのが狙いです。
バッファオーバーフロー攻撃
一時的にデータを保存する領域「バッファ」にキャパシティ以上のデータを送信し、システムダウンに追い込むことが狙いの攻撃です。
キャパシティ以上のデータが溢れることで、プログラムは予測不可能な動作を行うため、攻撃者がプログラムを自由に悪用できる状態になります。
また、バッファオーバーフロー攻撃は、Webサイトやデータの改ざん・破壊だけでなく、Dos攻撃やDDoS攻撃の踏み台(乗っ取られる)にされるので、非常に警戒すべきサイバー攻撃です。
DDoS攻撃はDos攻撃の発展型で複数のPCを踏み台にして、ターゲット対象のサーバーやWebサイトに負荷をかけシステムダウンに追い込みます。
攻撃を受けるとシステムの復旧に時間がかかり、業務の停滞やビジネス機会の損失を招くので、セキュリティツールを導入して異変を察知しましょう。
SQLインジェクション
SQLインジェクションはアプリケーションの脆弱性を利用して、データベースを不正に操作し、改ざんする攻撃です。
セキュリティ対策が不十分なWebサイトをターゲットに、入力フォームにデータ送信やサイト内容の改ざんなどを記載したSQL文章を入力することで、不正が実行されます。
個人情報や機密情報を管理するWebサイトで、SQLインジェクションを受けた場合は、住所・氏名・電話番号やクレジットカード番号といった重要な情報が流出します。
脆弱性を放置することで発生するリスクとは?
「セキュリティ対策にかけるコスト確保が難しい」、「うちの会社が情報を盗まれる心配はないから多少の脆弱性は問題ない」といった理由で、脆弱性を放置しておいた場合、どうなるでしょうか。
考えられるリスクをまとめました。
種類 | リスク内容 | 自社への影響 | 対外的影響 |
サイバー攻撃 |
|
|
|
マルウェア感染 |
|
||
内部流出 |
|
脆弱性を防ぐために導入するべき3つのセキュリティツールの紹介
WAF、EDR、UTMの特徴をまとめました。
WAF
WAF(Web Application Firewall)は、アプリケーションの脆弱性を突くサイバー攻撃を防ぐためのセキュリティツールです。
ファイアウォールのアプリバージョンと考えてください。
WAFはアクセス許可をシグネチャによって判断するため、ファイアウォールでは防ぎきれなかったマルウェアや不正アクセスの有無を検知します。
アプリケーションの脆弱性を突く攻撃である、SQLインジェクションやクロスサイトスクリプティングに有効です。
EDR
EDR(Endpoint Detection and Response)は、業務で利用するノートPCやスマートフォンなどのデバイス機器をエンドポイントと位置づけ、エンドポイント内のセキュリティ監視を行います。
端末内の異常や脅威を検知・隔離をするだけでなく、感染経路の把握・分析を行うため、被害の最小化と2次災害の予防ができます。
また、EDRはWindowsのPowershellを利用したファイルレス・マルウェアや未知の脆弱性を突く攻撃を検知できるため、サイバー攻撃やマルウェア感染などのセキュリティインシデントの予防と最小化、両面にアプローチできるセキュリティツールです。
機能 | 導入効果 | |
内容 |
|
|
UTM
総合脅威管理と訳されるUTM(Unified Threat Management)は、複数のセキュリティ機能を1台に集約したセキュリティツールです。
1台で脆弱性を突くサイバー攻撃やマルウェア感染などへの対策が行えるので、高いコストパフォーマンスを誇ります。
低コストで導入も比較的簡単に行えるので、セキュリティ分野での人材確保やコスト確保に悩んでいる企業にはおすすめです。
種類 | 機能 | 導入効果 |
ファイアウォール |
|
|
アンチウイルス/アンチスパム |
|
|
IPS |
|
|
Webフィルタリング |
|
|
アプリケーション制御 |
|
セキュリティツールを導入する前に行うべき2つのこと
企業全体でセキュリティ意識を高めていくことが重要です。
セキュリティ対策推進
情報が社会全体で取引の対象となり、莫大なお金を生む価値となっている現代社会において、情報資産を守ることは企業にとって非常に重要です。
以前とは異なり攻撃者のターゲットは大企業だけではありません。
サプライチェーン攻撃に代表されるように中小企業がターゲット対象にされる機会は増えています。
セキュリティ対策を年々強化する大企業に正面から攻撃するよりも、警戒心が薄く対策が進んでいない中小企業を風穴にした方が、目的としている情報資産を獲得できる可能性が高いと、攻撃者は考えています。
セキュリティ対策が不十分で取引先の情報資産が盗まれた場合、取引量の減少や取引停止になる可能性が十分にあります。
被害を受けていない企業からも不安視されるため、今後のビジネスが厳しくなる可能性が高いでしょう。
実際にチケット販売大手「ぴあ」が委託先の企業でセキュリティ上の脆弱性を突かれて、プロバスケットボールリーグ・Bリーグのファンサイトとチケットサイトに登録していた15万人以上の個人情報が流出しました。
クレジットカード情報の流出も含まれており、数百万円以上の金額が悪用されました。
ですが、企業にとってセキュリティ分野は直接売上や利益を生まないため、投資の優先順位が上がってこないのが現状です。
「業績が良くならないとコストを確保できない」といった理由もわかりますが、残された時間はさほど多くありません。
経営者には業績の推移を見ながら、情報資産を守る仕組み作りのためのコスト確保とツール導入が求められています。
社員へのセキュリティ教育
デバイス機器や情報の取り扱い方、情報漏洩対策など社員のセキュリティ意識を高める教育が必要です。
どんなに優れた製品を導入していても、セキュリティツールを運用していくのは人間です。
定期的なアップデートを怠っていた場合、製品のスペックをフルに活用できず、結果的には最新のマルウェアやサイバー攻撃に対応できないといった事態を招きます。
また、自身の所属する企業や組織が許可をしていないにも関わらず、自身の私物であるノートPCやスマートフォンを持ち込むBYOD、クラウドサービスを業務に持ち込むシャドーITが問題となっています。
使い慣れているため業務の効率性上昇には期待ができる反面、情報漏洩のリスクは高まります。
例えば、外出先のカフェやファストフード店など、セキュリティ対策が十分されていない店舗で私物を使ったとしましょう。
上司や取引先へのメール内容が丸見えになり、通信のやりとりで攻撃者に不正侵入を許すリスクが高まります。
自身の私物使用がきっかけで情報漏洩が起きた場合、解雇や損害賠償の要求といった重い処分が下されることは間違いありません。
人生を棒に振るう可能性もあるので、許可されていない私物利用は絶対に避けましょう。
まとめ
脆弱性の特徴、バグとの違い、脆弱性を突くサイバー攻撃の種類を振り返ります。
脆弱性 | バグ | サイバー攻撃 | |
特徴 |
|
|
|
想定されるリスク |
|
|
|