セキュリティホールとは? 脆弱性との違いやリスク、対策を解説
マルウェアへの感染やゼロデイ攻撃といったサイバー攻撃を招く要因の1つに、セキュリティホールが挙げられます。情報漏洩やデータの破壊、改ざんといった被害を防ぐには、セキュリティホールの早期発見・早期対策が必須です。しかし、セキュリティホールとは具体的にどのようなもので、どう対策をすればいいのか、よくわからない方もいるのではないでしょうか。
本記事では、セキュリティホールの意味や脆弱性との違い、放置することによるリスク、対策などについて解説します。
セキュリティホールとは、ソフトウェアやOSなどの開発段階における欠陥や弱点のこと
セキュリティホールは、ソフトウェアやOS、システムの開発段階で発生しているセキュリティ上の欠陥や弱点のことです。
一般に販売されている製品やサービスは、開発者やテストエンジニアによって複数回にわたる念入りなテストが行われ、不具合や欠陥がないこと、プログラム通りに動作することを確認した上でリリースされています。しかし、設計ミスやプログラミングコードの書き間違い、バグなどのない完全なプログラムを作成することは、簡単ではありません。そのため、ソフトウェアやシステムを使用する際には、開発者や管理者が気付いていないセキュリティホールが潜んでいることを前提とした対策を講じる必要があります。
セキュリティホールを修正せずに放置した場合、サイバー攻撃の標的となり、企業の信頼性を揺るがす事態に発展する可能性もあります。セキュリティホールには様々な種類があり、サイバー攻撃の種類も多岐にわたることから、常に最新の情報をキャッチアップして対策をアップデートしていくことが重要です。
セキュリティホールと脆弱性の違い
セキュリティホールと混同しやすい言葉として、脆弱性が挙げられます。どちらもセキュリティ上の欠陥を指す言葉で、放っておくと攻撃者によって悪用されるおそれがある点は共通していますが、厳密には意味が異なります。
セキュリティホールは、システムやソフトウェア、OSなどのプログラムに存在している欠陥のことです。一方、脆弱性という言葉は、プログラム上の欠陥だけでなく仕組みや管理体制を含めて、安全性に影響のあるすべての問題点を指しています。つまり、セキュリティホールは脆弱性の1つであり、サイバー攻撃で狙われやすい具体的な欠陥を示す言葉だといえます。
セキュリティホールを狙ったサイバー攻撃の種類
セキュリティホールの発見が遅れたり、放置していたりすると、攻撃者の標的になる可能性が高まります。適切な対処をするため、よくあるサイバー攻撃の特性を知っておきましょう。
セキュリティホールを狙う代表的なサイバー攻撃としては、下記8点が挙げられます。
バッファオーバーフロー
バッファオーバーフローとは、プログラム実行時にデータを一時保存するバッファと呼ばれる領域に許容量を超えるデータを送り付け、バッファをあふれさせて誤作動を引き起こす攻撃です。バッファオーバーフローが起こると、関数の処理終了後に次のプログラムを実行する位置を示すリターンアドレスが上書きされ、データが破壊されたり、外部に送信されたりするトラブルが起こる可能性があります。
書き込み上限を設けるなどの対策がされていないプログラムには、バッファオーバーフローのリスクが潜んでいます。
- 併せて読みたい
SQLインジェクション
SQLインジェクションとは、Webサイトのセキュリティホールを突き、Webサイト上にある入力フォームにデータベースを操作するための不正なSQL文を挿入することで、意図しない動作をさせる攻撃です。「顧客情報を流出させる」「データの内容を改ざんする」といったSQL文が送られると、深刻な情報漏洩の被害を引き起こす可能性があります。
OSコマンドインジェクション
OSコマンドインジェクションは、WebサーバーのOSを狙う攻撃の一種です。Webアプリケーションに存在するセキュリティホールを通じて不正なOSコマンドを送信し、Webサーバーにファイルの改ざんやマルウェアのダウンロードなどの意図しない命令を実行させます。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)は、WebサイトやWebアプリケーションのセキュリティホールを利用して、悪質なスクリプトを実行する攻撃です。セキュリティホールのあるWebサイトの掲示板などで悪意のあるスクリプトが含まれた外部リンクを表示させ、Webサイトに訪問したユーザーに被害をもたらします。
悪意のある偽サイトに誘導して複数のサイトをまたぐケースが代表的であるため「クロスサイト」と呼ばれます。
クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリ(CSRF)とは、Webアプリケーションにログインしているユーザーを特定してデータの処理状況を管理するセッション管理機能のセキュリティホールを悪用する手法です。
攻撃者は、ターゲットとなるWebアプリケーションにログインしているユーザーに対してメールなどで偽サイトに誘導し、偽サイトのURLをクリックした際に不正なリクエストが正規のWebアプリケーションに自動送信されるプログラムを組んで、意図しない処理を行わせます。例えば、攻撃対象のWebアプリケーションがオンラインバンキングだった場合、口座からの不正送金などの被害が発生します。
DNSキャッシュポイズニング
DNSキャッシュポイズニングとは、ドメイン名とIPアドレスを紐づけるDNSサーバーが一時的に保存しているキャッシュデータに偽サイトのアドレスを挿入する手法です。正規のWebサイトにアクセスしようとしたユーザーを偽サイトに誘導します。DNSサーバーにセキュリティホールがあると、この攻撃が可能になります。
ディレクトリトラバーサル
ディレクトリトラバーサルとは、WebアプリケーションやWebサイトで、公開を想定していない重要な機密ファイルやディレクトリの場所を示すパスを悪用して不正アクセスを狙う攻撃です。
パスには、ファイルのある場所を直接指定する絶対パスと、現在参照しているファイルから目的のファイルまでの行き方を記述する相対パスがあり、ディレクトリトラバーサルで狙われるのは相対パスに関するセキュリティホールです。外部からのファイル名の指定を防ぐ設計がされていない場合は、ディレクトリトラバーサルの被害を受けるリスクがあります。
ゼロデイ攻撃
ゼロデイ攻撃は、セキュリティホールが発見されてから対策を打つまでのタイムラグを狙ってサイバー攻撃をしかける手法です。アップデートプログラムが配布されるまでのわずかな隙間を突く攻撃のため、セキュリティが強固な企業でも対策を講じにくく、被害が拡大しやすい傾向があります。
セキュリティホールを放置することで起こりうるリスク
セキュリティホールに気付かなかったり、気付いても適切な対策ができなかったりしてセキュリティホールを放置すると、様々なリスクが生じるおそれがあります。代表的なリスクは、下記の2点です。
不正アクセス
セキュリティホールがあると、不正アクセスのリスクが高まります。データベースやファイルサーバーへの侵入が容易になるため、個人情報や機密情報が盗まれたり、自社サイトが改ざんされたりといった被害が発生しかねません。
業務を停止せざるを得ない状況になった場合は、企業に対するユーザーの信頼が大きく損なわれる可能性があります。
マルウェア感染
セキュリティホールの放置によるリスクの1つとして、マルウェアへの感染も挙げられます。業務に関連がありそうなファイルに偽装してメールでマルウェアを送り込む方法などで感染するケースもありますが、セキュリティホールから不正コードが実行されて感染するケースも少なくありません。
マルウェアに感染すると、システムの不具合や停止、データの暗号化による身代金の要求、不正操作による重要情報の流出などが起こります。他のコンピューターへの感染が拡大することも珍しくありません。
- 併せて読みたい
セキュリティホールが発見された事例
Webサービスや企業内のシステムなどで、実際にセキュリティホールが発見された事例や、セキュリティホールによって被害が発生した事例もあります。セキュリティホールを見落とさないために、下記の事例を参考にしてください。
オンライン会議システムで複数のセキュリティホールが発見された事例
新型コロナウイルスの感染拡大をきっかけに普及したオンライン会議システムでは、これまでにいくつかのセキュリティホールが発見されています。
例えば、通信内容を暗号化する仕組みに存在していたセキュリティホールによって、サービス提供者がオンライン会議でやりとりされた情報を入手できる状態にありました。このセキュリティホールは、2020年のアップデートで改善されています。
また、Windows版のクライアントでは、悪意あるコードを実行できるセキュリティホールが発見されたこともありました。このセキュリティホールについては、サービス提供者が迅速に修正プログラムを公開し、対策が講じられています。
他にも、iOS版のアプリでオンライン会議システムを使用すると、ログインに利用できるSNSサービスに対してユーザー情報が自動的に送信される問題が発覚したこともあります。ユーザーの同意なく、使用している端末や通信会社の情報が抽出され、外部のSNSサービスに送信されていました。この問題が発覚してから、アップデートによって不要な情報を抽出しない仕組みに変更されましたが、旧バージョンを使用していると適応されない場合があるためバージョンアップが必須です。
病院でVPNのセキュリティホールが悪用され、身代金が要求された事例
2021年10月、国内の病院でVPN装置のセキュリティホールを狙い、ランサムウェアに感染させる攻撃がありました。電子カルテが暗号化され、患者情報の閲覧や診療報酬の請求が不可能になったことで、病院の機能が停止する事態になっています。犯行声明を出した犯人側は、データの復旧と引き換えに身代金を要求しました。
身代金の要求に応じたかどうかは判明していませんが、暗号化されたデータが復旧して通常診療を再開できたのは約2か月後で、復旧に甚大な時間と費用を要しています。
- 併せて読みたい
産業情報の監視制御システムが諜報目的のサイバー攻撃に遭った事例
「Sandworm Team」と呼ばれるロシアのサイバー攻撃集団が、Windows OSのセキュリティホールを狙い、ゼロデイ攻撃を仕掛けた事例もあります。標的となったのは、ウクライナやポーランドといったロシアと対立する国の企業で使われていた「SCADA」と呼ばれる産業情報の監視制御システムで、諜報目的のサイバー攻撃だったと考えられています。
背景には、ウイルス対策ソフトやシステムアップデートといった対策が軽視されていて、ネットワークからパソコンを物理的に切り離す手法で十分と考えていたセキュリティ意識の甘さがありました。また、サポートがすでに終了したWindows OSを使っていたことも要因の1つです。
セキュリティホールへの対策
セキュリティホールを狙った攻撃を未然に防ぐには、どのような対策をとればよいのでしょうか。主な対策としては、下記の4つが挙げられます。
セキュリティ更新プログラムの迅速な適用
セキュリティ更新プログラムを迅速に適用して、常に最新の状態に保つようにすると、発見されたセキュリティホールを速やかに解消できます。
OSやソフトウェアのベンダーは、リリース後にセキュリティホールが発見された場合、更新プログラムを配布して修正を図ります。配布された更新プログラムはすぐに実行して、セキュリティホールの放置を防ぎましょう。
更新プログラムを見落とさないよう、リリース状況をこまめに確認するか、自動で更新される機能をオンにすることをお勧めします。
IDS・IPS・WAFなどの導入
OSやミドルウェアを不正アクセスから守るIDS・IPSや、Webアプリケーションのセキュリティホールを突く攻撃を防ぐWAFを導入することも、セキュリティホールへの有効な対策です。
それぞれ防御できる対象が異なるため、併せて導入することで、社内ネットワークを不正アクセスから守れる可能性が高まります。特にWAFは、ウイルス対策ソフトだけでは対応できない攻撃も防げる可能性があるため、セキュリティレベルの向上を図りたい場合に効果的です。
- 併せて読みたい
ウイルス対策ソフトの導入
最新のセキュリティホールの情報に基づいて企業のシステムやサーバーを監視するウイルス対策ソフトの導入も、社内システムの安全性向上には欠かせません。
発見されていないセキュリティホールから不正アクセスやマルウェアの侵入が試みられた場合でも、ウイルス対策ソフトがあれば、侵入をブロックして被害を防ぐことが可能です。ウイルスやマルウェアの侵入を事前に検知するだけでなく、侵入してしまった場合の早期発見と初動対応までカバーする製品もあるため、併せて導入するといいでしょう。
脆弱性診断の導入
組織内にあるすべての機器にもれなく対策を実施するために、あらかじめ脆弱性診断を受けて現状を把握するのもお勧めです。脆弱性診断とは、セキュリティホールの有無やそのリスクなどを客観的に診断することです。セキュリティホールがどこに存在するかを把握することで、適切な対策が打てるようになります。脆弱性を診断するツールを利用すれば短時間、低コストで診断できますが、専門家に依頼して時間と費用をかけて診断する方法もあります。
脆弱性診断を導入した場合は、一度で終わらせるのではなく、定期的に診断を実施することでリスクの高いセキュリティホールの早期発見と対策に努めましょう。
- 併せて読みたい
セキュリティホールを解消するために、有効な対策を実施しよう
セキュリティホールは、開発段階で生じたセキュリティの欠陥で、不正アクセスやマルウェア感染といったサイバー攻撃の起点となる可能性があります。セキュリティホールから大きな被害につながった企業もあるため、早期発見が欠かせません。本記事で解説した内容を参考に、セキュリティホール解消に向けて対策を進めましょう。
個人情報や機密情報を多く扱う企業では、情報漏洩対策に特化したツールによる総合的な対策がお勧めです。インターコムの「MaLion」シリーズなら、社内で利用されている端末のログ情報などを管理して情報漏洩対策を講じられる上に、Windowsの更新プログラムの適用状況を把握して一括配付することもできるため、セキュリティホール対策にも役立ちます。セキュリティ対策の強化に向けて、ぜひご検討ください。
