JP
企業で使用するPCやサーバーでは、OSに加え複数のアプリケーションが動作しています。これらのOSやアプリケーションにはしばしば脆弱性が発見され、修正パッチやアップデートが提供されます。しかし、パッチやアップデートを適用するためには多くの作業工数をこなさなくてはならず、特に担当者がひとりだけの“ひとり情シス”の環境では、手が回らずに脆弱性を放置したままということも。そこで今回は、修正パッチやアップデートを適用しないことにより生まれるリスクについて解説します。
ソフトウェアで発見される脆弱性とは
マルウェア感染や不正アクセスによる情報漏えい事件がしばしばニュースとなりますが、その原因はソフトウェアの脆弱性にあることが少なくありません。脆弱性はセキュリティホールとも呼ばれ、ソフトウェアで発見される不具合のことです。脆弱性にはさまざまな種類があり、日本では米国の非営利団体MITRE社が規定した脆弱性の分類を使用しています。
脆弱性は、例えば非常に多い文字数を入力するなど、想定されていなかった操作を行うことで現れることがあります。これをサイバー攻撃者が悪用することで、マルウェアへの感染やシステム内に侵入されるなどして、結果的に情報漏えいやシステムの停止といった被害を招きます。脆弱性の悪用はサイバー攻撃を行う上で非常に有効であるため、サイバー攻撃者は常に脆弱性を探しているのです。
ソフトウェアの開発者やサイバーセキュリティの研究者も、そうした脆弱性を突かれないよう、日々調査を行っています。脆弱性が発見された場合には、それを修正するためのパッチやアップデートを用意し、情報を公開します。しかしサイバー攻撃者は、公開された脆弱性情報をもとに、その脆弱性を悪用するためのコード(エクスプロイトコード)を用いてサイバー攻撃に使うために、パッチやアップデートを適用していない場合は標的にされてしまうのです。
サイバー攻撃者がエクスプロイトコードを作成するまでの時間は日を追うごとに短くなっており、脆弱性の情報が公開されたその日のうちにサイバー攻撃が行われることもあります。それゆえ、ユーザーは一刻も早くパッチやアップデートを適用する必要があります。なお、ソフトウェアの開発元が脆弱性に気付く、あるいは修正パッチやアップデートを提供する前に、その脆弱性を悪用したサイバー攻撃が行われることもあり、これを「ゼロデイ攻撃」と呼びます。
