セキュリティホールを放置してしまうと、マルウェア感染やハッキング、情報漏えいなどのリスクが高まる。攻撃者は常に新たなセキュリティホールを探し回り、見つけ次第速やかに攻撃を実行に移すことで成功確率を高めようとしている。この記事では、セキュリティホールの具体例や対策について解説する。
セキュリティホールとは
セキュリティホールとは、ハードウェアやソフトウェア上の欠陥を指す。文字面のとおり、「セキュリティ上の穴」であり、放置しておくとさまざまなリスクを引き起こしてしまう。セキュリティホールと似た言葉に「脆弱性」がある。一般的に、同義で使われることも少なくないが、正確にとらえれば、セキュリティホールと脆弱性は異なる。例えば、脆弱性はパスワード管理などの仕組みや運用面までもが含まれる。つまり、脆弱性という言葉は、仕組みや概念など抽象的な事象についても用いられるのだ。それでは、具体的にセキュリティホールとはどういった事象を指すのだろうか。代表例を以下に紹介していく。
1)バッファオーバーフロー
処理能力を超える大量のデータやコードが送り込まれることで、コンピューターのメモリー領域のバッファ許容量を超えてしまう。その結果、イレギュラーなコードが実行されてしまう可能性がある。
2)SQLインジェクション
コードの欠陥を抱えているWebアプリケーションを運用し続けることで、システムに不正なSQL文を流し込まれてしまう。その結果、データベースを不正に操作されてしまう恐れがある。
3)クロスサイト・スクリプティング(XSS)
攻撃者はWebサイト上の脆弱性を把握した上で、悪意あるスクリプト(コード)を作成する。このスクリプトがユーザーのWebブラウザー上で実行されることで、被害につながる。
4)クロスサイトリクエストフォージェリ(CSRF)
Webアプリケーションの脆弱性を悪用し、ユーザーのセッション、リクエストを不正に操作する手法。「セッションライディング」とも呼ばれることがある。
5)ディレクトリトラバーサル
本来アクセスされることが想定されていない、非公開のディレクトリへのアクセスを許してしまう。
6)権限管理(権限昇格)
本来、システムの管理権限を持たないはずのユーザーが管理者になれてしまう欠陥。ランサムウェア攻撃にも悪用されるケースがある。
セキュリティホールが招くリスク
セキュリティホールが放置された場合のリスクとして、代表的なものを以下に挙げていく。
1)マルウェア感染
コンピューターのセキュリティホールが放置されることで、不正なコードが実行される恐れがある。その結果、コンピューターがマルウェアに感染して情報漏えいなどの被害を招くだけでなく、ほかのコンピューターへ感染が拡大するといった危険性もある。
2)ハッキング
マルウェア感染によってコンピューターが遠隔操作されるリスクがある。また、コンピューターの動作・処理が重くなったり、突然シャットダウンしたり、あるいは意図せずWebカメラにアクセスされる恐れもある。
3)情報漏えい
マルウェア感染やハッキングによって、個人情報や機密情報などが漏えいしてしまうリスクがある。ひとたび情報漏えいを招いてしまうと、なりすましや金銭被害、標的型攻撃などさまざまな二次被害につながりかねない。
4)ゼロデイ攻撃
ベンダーによる修正パッチが提供される前の時点で生じるセキュリティホールがゼロデイ脆弱性である。この脆弱性を突く攻撃がゼロデイ攻撃であり、対処方法が存在しない状態での攻撃のため、被害に遭う可能性が高いとされる。利用ユーザー数の多いソフトウェアでゼロデイ攻撃が発生した場合、甚大な被害に至る恐れがある。
セキュリティホールによる被害事例
過去、実際に発覚したセキュリティホールの事例を以下に紹介していく。
1)オンライン会議ツールにおける権限管理の脆弱性
2022年6月、大手オンライン会議ツールにおいて、複数のセキュリティホールが発覚。これらのセキュリティホールを悪用すると、会議参加の際に不要なプログラムをインストールされ、任意のコードを実行される。また、一部バージョンでは権限管理の問題により、主催者の同意なしに参加が可能となっていた。同社はすでにアップデートプログラムを提供している。
2)macOSやiOSのゼロデイ脆弱性
2022年2月、アップル社はmacOSやiOSの緊急アップデートを発表。WebブラウザーSafariに搭載されているHTMLレンダリングエンジンWebKitで発覚したゼロデイ脆弱性へ対応した。このセキュリティホールが悪用されると、攻撃者が任意のコードを実行できる状態であった。
3)Webアプリケーション上の脆弱性
2022年1月、大手学習塾のWebサイトからの情報流出が発覚。Webアプリケーションを狙ったSQLインジェクションによる被害だった。この件では、メールアドレスのみの流出に限定されたものの、情報の流出件数は約28万件に及んだ。
4)ログ管理ソフトウェア「Apache Log4j」における脆弱性
2021年12月、ログ記録のためのソフトウェアである「Apache Log4j」に深刻なセキュリティホールが発覚。「Log4Shell」と呼ばれるこのセキュリティホールを悪用することで、ログ処理のプロセスに介入し、リモートで任意のコードを実行できる状態にあった。
Log4jは世界中のさまざまな製品に利用されており、影響範囲は広範囲に及んだ。ESET社による調査では、数十万回以上の攻撃を検知したが、現在では更新版が提供されている。
5)VPN機器が抱える脆弱性
2021年10月、国内某病院の電子カルテシステムへのランサムウェア被害が発覚。攻撃者はVPN機器の脆弱性を経由して侵入していたことが、のちの追跡調査で明らかになった。事件以前に流出していた認証情報のリストに、この病院の認証情報が含まれており、攻撃者はその認証情報を利用して侵入したとみられている。
また、この件で当該病院は複数のリスク要因を抱えた状況だった。例えば、セキュリティソフトを導入していたにも関わらず、それを停止していた。さらにパーソナルファイアウォールの機能も停止していた。攻撃者にとってみれば、セキュリティホールを多数抱えた、格好の餌食だったとも言える。
セキュリティホールへの対策
セキュリティホールへの主な対策について、従業員側と企業側に分けて解説していく。
1)クライアント端末(従業員側)
・OSやアプリケーションの最新の状態に保つ
セキュリティホールが発覚した場合、速やかにベンダー側で更新プログラムが提供される。更新プログラムが提供され次第、迅速に適用し、常に最新版にしておくことは基本的な対策だ。
・セキュリティソフトを導入する
セキュリティソフトは絶えず、リアルタイムに端末の状態を監視する。いわゆるマルウェアによる感染リスクに対処するだけでなく、危険性が疑われるWebサイトへのアクセスを遮断、あるいは不正なプログラムのインストールを未然に防ぐ、といった具合でユーザーを保護する。
・サポートが終了したソフトウェアは使用しない
ソフトウェアにはサポート期限がある。サポートが終了すると、それ以降は更新プログラムが提供されない。すなわち、脆弱性が発覚した場合でも基本的に修正パッチが提供されることはないため、サポート終了のソフトウェアを利用し続けていること自体が、セキュリティホールであるとも言える。
2)ネットワーク、サーバー、システム(企業内全体)
・OSやアプリケーションの最新の状態に保つ
社内で利用しているアプリケーションをはじめ、ネットワークやサーバー、ハードウェアなどに関連するソフトウェア、ミドルウェアなどもクライアント端末同様、最新の状態を保持する必要がある。
・セキュリティソフトを導入する
サーバーへの攻撃を試みる攻撃者も増加傾向にあり、サーバーも適切な保護が求められる。OS向けのセキュリティソフトには、リアルタイム保護やネットワーク監視機能などが搭載されている。
・サポートが終了したソフトウェアは使用しない
サーバーやネットワーク機器などで稼働しているソフトウェアにおいても、それぞれのサポート期間の多くが有限だ。サポート終了以降に発覚した脆弱性は、基本的に修正パッチが配布されることはない。社内に常設した状態の場合、いつの間にかサポートが終了して脆弱性が放置されたままだった、というのはよく耳にする話だ。自社内の資産管理を行う際に、それぞれの機器のサポート期間も把握するようにしたい。
・WAFの導入
WAF(Web Application Firewall)はWebアプリケーション層を保護するためのファイアウォールだ。脆弱性を抱えたWebアプリケーションが被害に遭遇するリスクを軽減する。
・脆弱性診断
脆弱性診断は、アプリケーションやシステム、ネットワークにセキュリティホールが存在しないか、網羅的にチェックしてもらえるサービスだ。開発当事者では客観的な視点から診断を行うことは難しいため、アウトソーシングサービスを活用して、定期的に実施することが望ましい。
・ペネトレーションテスト
ペネトレーションテストはホワイトハッカーによる、システムへの侵入を実際に試みるテストのことだ。実際のハッカーが用いる手法でテストを行うことで、社内のアプリケーション、システムが抱える脆弱性を調査する。
サイバー攻撃者にとって、セキュリティホールは不正行為を働くための格好の入り口である。セキュリティホールを放置することは、玄関を開け放したまま外出するのと同じようなものだ。ひとたび、攻撃者による不正侵入を許してしまえば、ランサムウェアへの感染をはじめ、深刻な被害につながりかねない。求められる対策は、セキュリティソフトの導入やOSのアップデートなど、基本的なものも少なくない。日常生活では、外出時にはカギをかけるのは習慣化しているはずだ。同様に、セキュリティ対策も日常的な習慣と位置づけ、実行していくようにしてほしい。
