日常生活や業務での情報システムの利用が当たり前となっている昨今、インターネットにてサイバー攻撃や個人情報漏えいのニュースを目にすることも珍しくありません。そのような中で「脆弱性(ぜいじゃくせい)」という単語を耳にすることが増えましたが、そもそも脆弱性とは何なのか、その意味が分からないといった方も少なくないはずです。
また、脆弱性の意味は分かるものの、「具体的にどのように情報漏えいするのか」や「自分が利用しているシステムに脆弱性があるか、確認する方法がわからない」といった疑問もあるかと思います。本記事では、脆弱性の意味や使い方、代表的な脆弱性、脆弱性を確認する方法をわかりやすく解説していきます。
脆弱性とは?意味や使い方を例文ベースで解説
脆弱性とは、本来の意味は「もろくて弱い性質」を指します。対して、ITにおける脆弱性は「情報セキュリティ上の欠陥」を指します。
つまり脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用することは、サイバー攻撃により、不正アクセスや、ウイルス感染してしまうといった多くの脅威や危険性があります。
引用(総務省):https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html
では次に、「脆弱性」を使った例文を掲載します。
【例文】
- A社のソフトウェアには脆弱性が存在する。
- Webサイトの脆弱性を放置した結果、Webサイト利用者の個人情報が漏えいした。
- 脆弱性対策のため、ソフトウェアを最新のバージョンにアップデートする。
脆弱性の意味は情報セキュリティの欠陥ですが、それだけでは具体的になにが起こるかが分かりにくいと感じた方もいるのではないかと思います。
では次に、代表的な脆弱性をご紹介し、脆弱性が悪用された場合に何が起こるかを解説します。
代表的な脆弱性の例をわかりやすく解説
ソフトウェアやアプリケーションには様々な種類が存在し、それぞれに名前がついています。脆弱性も同様に様々な種類があり、特徴的なものには名前が付けられています。
脆弱性名:クロスサイトスクリプティング
クロスサイトスクリプティングは、Webサイトで発生する脆弱性の一つで、Webサイトに問題があり、悪意のある不特定の第三者が不正なスクリプトを挿入できる脆弱性を指します。
クロスサイトスクリプティングには大きく「反射型」、「蓄積型」、「DOM based」の3種類に分けられます。今回は「蓄積型」のクロスサイトスクリプティングを解説いたします。
蓄積型のクロスサイトスクリプティングの脆弱性を持つWebサイトのケースでご紹介します。攻撃者によって悪意あるスクリプトをWebサイトに保存されると、その保存された悪意あるスクリプトがあるページにアクセスすることで自他関係なくスクリプトが実行されてしまいます。
この脆弱性を利用した攻撃の一例として下記のようなものが考えられます。
【登場する人物・システム】
- Webサイト(Webサイトには誰でもアクセスできる画面と、サイト管理者のみがアクセスできる管理者画面が存在する)…A
- Webサイトの管理者…B
- クロスサイトスクリプティングの脆弱性を悪用する人(以降、攻撃者と呼ぶ)…C
- 攻撃者が用意した情報収集サーバ…D
【脆弱性が悪用される流れ】
手順1.スクリプト挿入
攻撃者はWebサイトで何かしらの商品(以後、商品Aと呼称します)を購入する際の、購入画面にて悪意あるスクリプトの挿入を行います。
悪意のあるスクリプトは、商品Aの情報に紐づけられた状態でWebサイトに保存されます。この時、悪意あるスクリプトには「アクセスしているユーザのセッション情報(認証情報)を情報収取サーバに送信する」のような内容が記載されているとします。
手順2. 管理画面にアクセス
管理者ユーザが管理画面にて手順1.で攻撃者により悪意あるスクリプトを挿入された、商品Aの購入データにアクセスを行います。
手順3. 悪意あるスクリプトが認証情報を情報収集サーバに送信
手順2.の結果、悪意あるスクリプトが実行され管理者ユーザのセッション情報が情報収集サーバに送信されます。
手順4. 攻撃者が、認証情報を取得
攻撃者が情報収取サーバにアクセスし、悪意あるスクリプトを実行してしまった管理者ユーザのセッション情報を取得します。
以上がクロスサイトスクリプティング(蓄積型)の脆弱性が悪用された際の流れの一例となります。最終的に、攻撃者は管理者の認証情報を入手できてしまっているため、Webサイトそのものをコントロールできてしまうほどの被害につながることが想像できるでしょう。
代表的な脆弱性「クロスサイトスクリプティング」の概要と、脆弱性が悪用された場合にどうなるかを解説しました。
脆弱性を放置すると様々なリスクが起こりえます。しかし、実際にソフトウェアやアプリケーションなどに脆弱性が存在するかどうか、どのように確認すればよいのでしょうか。次に、脆弱性を確認する方法を解説します。
脆弱性を確認する方法をわかりやすく解説
セキュリティ対策をするためには今脆弱性がどこにあるのか確認する必要があります。では実際にソフトウェアやアプリケーションに脆弱性があるかどうか、どのように確認すれば良いのでしょうか。次に、脆弱性が存在するかどうか確認する方法をわかりやすくご紹介します。
脆弱性情報を収集する
昨今、様々なソフトウェアやアプリケーションが利用されており、日常的に脆弱性が発見されています。ソフトウェアやアプリケーションの脆弱性の情報を集めて公開しているWebサイトが存在します。
公開している脆弱性の情報には、その脆弱性が存在するソフトウェアやアプリケーションのバージョンが記載されています。自身で利用しているソフトウェアやアプリケーションのバージョンに該当する脆弱性の情報がないか、脆弱性情報サイトを確認しましょう。
脆弱性診断の詳しい収集方法はこちらの記事を参照いただければと思います。
脆弱性情報の収集方法をまとめて紹介 脆弱性情報データベースを活用しよう
https://security.valtes.co.jp/blog/nationalvulnerabilitydatabase_vol_1
脆弱性診断サービスを利用する
脆弱性診断サービスとは、システム上の脆弱性を専門家が特定するサービスとなります。診断できるものは診断サービスを提供している会社により様々ですが、Webサイトやモバイル、IoTのアプリケーションなど特定の分野ごとに分けてサービス化していることが多いです。
診断サービスは基本的に有償になります。また、脆弱性を調査し発見した脆弱性を報告することが目的のサービスのため、診断により脆弱性は解消されません。
しかし、脆弱性診断の専門家が実際に疑似的な脆弱性攻撃を行って調査すれば安心です。状況に応じて専門家が脆弱性の危険度を判断し解説するため、専門的な知識がなくても脆弱性の有無を確認できます。
まとめ
「脆弱性とは?意味や使い方をわかりやすく説明」と題して、ご紹介してまいりました。本記事では、脆弱性の意味や使い方、代表的な脆弱性の名称と一例、脆弱性を確認する方法をご説明しました。
脆弱性の言葉の意味や使い方だけでなく、具体的にどのような脆弱性があるのか、またどうすれば脆弱性の有無が確認できるかといった、一段掘り下げた疑問にお答えできていれば幸いです。
当サイトではWebサイト、モバイル端末、IoT機器が抱える脆弱性によるリスクへの対策を検討している方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
