脆弱性とは？発生する理由やリスク・事件に発展した事例・対策を紹介

本コラムでは、自社のサイバーセキュリティ・脆弱性対策について考え、備えていかなければならないと認識しているが、何から手をつければよいか判断に迷う、という様な方向けに「脆弱性」について解説いたします。

ネットワークを通したパソコン・スマホなどの通信機器の利用が主流となっている近年、企業や組織における「セキュリティの脆弱性」は非常に重要なものとなっています。

脆弱性とは、セキュリティを確保するための重要な要素ですが、IT・セキュリティに関与されていない場合、言葉の意味自体を詳しく知らない方も多いのではないでしょうか。

そこで今回は、初めての方にはわかりやすく、そうでない方には振り返りとして、脆弱性とは何であるのか、どのような原因で発生するのか、さらには脆弱性がもたらすリスク・事故事例や対策方法まで、一通り解説します。脆弱性や情報セキュリティについての知識を深め、より強固な対策を講じるためにも、ぜひ参考にしてください。

脆弱性（ぜいじゃくせい）とは、コンピューターのOSやソフトウェアにおける情報セキュリティ上の欠陥を指します。プログラムの不具合や設計のミスが原因で発生しやすく、クラウドサービスにおいては設定ミスが原因となることもしばしばです。

また、脆弱性は「セキュリティホール」と混同されやすく、同様の意味として使われているケースも多々あります。両者は意味こそ似ているものの、厳密には異なるものとなっています。

脆弱性は情報セキュリティ上の欠陥、いわゆる「外部からの攻撃に対する防御力が低い状態」という意味であることに対して、セキュリティホールは情報セキュリティ上の弱点という意味です。したがって、セキュリティホールは脆弱性に含まれる1つの要素として考えておきましょう。

脆弱性が発生する具体的な理由には、下記が挙げられます。

上記の中で最もよくある理由が、システム設計ミスです。例えば、外部のユーザーが氏名や住所を記入する欄に数万文字という文字数が入力されることを想定してシステムを設計していない場合、数万文字が入力されることで異常な動作を引き起こす可能性があります。このように、さらに深堀りした設計ミスの原因は、基本的に「予測の不十分」と言えるでしょう。

脆弱性を見過ごし、そのままにしておくと、脆弱性を見抜いた攻撃者によるサイバー攻撃を受ける可能性が高まります。結果として、マルウェア感染や機密情報・顧客情報の流出といったセキュリティインシデントが発生してしまいます。

脆弱性対応やセキュリティインシデント対応が遅れて顧客や取引先企業にまで影響が及ぶと、企業の信頼が損なわれる可能性もあるため、脆弱性の放置は当然望ましくありません。

ここからは、脆弱性がもたらすセキュリティリスクについて詳しく紹介します。

脆弱性を放置すると、脆弱性を発見した悪意ある第三者によって社内ネットワークやソフトウェア、クラウド環境への侵入が行われる可能性があります。そのうえで、内部からファイルやコードをこっそりと改ざん・破壊したり、マルウェアを仕込んだりするケースも珍しくありません。

また、ソフトウェアに脆弱性がある場合は不正なプログラムの組み込まれたファイルを送信してくるケースも頻発しています。一見すると普通のファイルのように見えるため、つい開いてしまう方もいるでしょう。このように、攻撃者は企業や組織の「うっかり」を狙った悪質な攻撃をして、あらゆるルートで内部ネットワークに侵入しようと試みます。

サイバー攻撃者の中には、社内のネットワークやクラウド環境へ侵入をせずとも、公開されているWebサイトやクラウドサービスから不正アクセスをする者もいます。

特に有名な不正アクセス・攻撃方法が、「SQLインジェクション」です。SQLインジェクションとは、脆弱性を意図的に利用して、想定しないSQL文を作成・実行させることによって、データベースシステム・情報システムを不正に操作するという方法です。

また、OpenSSLの脆弱性として「Heartbleed」も代表的なものとなっています。Heartbleedはメモリ内に格納された暗号化キーが盗まれ、メモリ内の個人情報やSSL暗号化通信の内容などが流出するおそれもあるため、注意が必要です。

さらに、「クロスサイト・スクリプティング」というソフトウェアの脆弱性を悪用されることによって、攻撃者は正規ユーザーになりすまして不正ログインを行えるようになります。脆弱性のあるページに不正なスクリプトが埋め込まれると、ID・パスワード・クレジットカード情報の漏えいなど正規ユーザーにも大きな影響を及ぼすという危険性が高まります。

脆弱性がもたらすもう1つの大きな脅威が、マルウェア感染です。マルウェアとは、ユーザーのデバイスに不利益をもたらすことを目的とした悪意あるソフトウェア・コードの総称を指します。トロイの木馬やランサムウェア、ワーム、Emotetは代表的なマルウェアです。

マルウェア感染による被害の内容は、マルウェアの種類によっても異なります。ランサムウェアはコンピューターのロックやファイルの暗号化、トロイの木馬は内部データの流出、ワームはデバイスの乗っ取りやデータの盗難、情報漏えいなどが主な被害です。

独立行政法人 情報処理推進機構（IPA）が公表しているデータによると、2021年度における脆弱性の届出件数は累計67,361件であることが分かりました。加えて、脆弱性の届出件数は、年々右肩上がりとなっていることも見てとれます。

出典：独立行政法人 情報処理推進機構（IPA）「ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第3四半期（7月～9月）]」

このように、脆弱性の発生や脆弱性を突いたサイバー攻撃は後を絶ちません。実際に日本では、脆弱性が原因であらゆる事件が起きています。下記は、独立行政法人 情報処理推進機構（IPA）の公式サイトで公表されている「脆弱性公表レポート」の一部です。

出典：独立行政法人 情報処理推進機構（IPA）「ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第3四半期（7月～9月）]」

マルウェア感染などによって被害を受けた際は、早急に、かつ適切に対処をとることは当然大切です。しかしその前に、なるべく被害を受けないためにも脆弱性への対策をしっかりと講じておくことも欠かせません。

最後に、脆弱性に対する3つの対策方法を詳しく説明します。

脆弱性を防ぐためには、情報セキュリティの担当者が常にセキュリティに関する最新情報を身につけておくことがまず大切です。最低限収集しておくべき主な情報は、「使用ソフトウェアの脆弱性」「最新のサイバー攻撃」「最新のセキュリティソフト」の3つが挙げられます。脆弱性データベースや各企業のプレスリリースなどを見て、必要な情報を収集しましょう。

収集した情報は、システム構築に落とし込むことが大切です。システムを作った後にチェックするだけでなく、設計書を作成した段階で検証する手法（シフトレフト）がトレンドとなっています。

シフトレフトを実現するGSXの教育サービス

SecuriST®はこちら

EC-Council公式トレーニングはこちら

企業や組織が保有・管理するソフトウェア・ハードウェアは、企業にとって重要性の高い情報資産となるため、常に適切な管理を徹底しましょう。適切な資産管理を欠かさないことでセキュリティはより強固なものとなり、脆弱性はもちろん、新たに誕生したサイバー攻撃を防ぐことが可能です。

具体的には、OSやセキュリティソフトを常に最新のものにアップデートする・ヒューマンエラーや内部不正など、社内の人間が起因となる脆弱性の対策をするなどが挙げられます。また、管理する数が多ければ多いほど時間やコストも増加するため、ソフトウェア・ハードウェアの数を一度見直して、可能な限り最小限化することもおすすめです。

脆弱性やセキュリティ対策に関する定期的な診断も、脆弱性対策に欠かせないポイントです。脆弱性診断サービスは、現段階で脆弱性が存在していないかを調べるものであり、ツールを用いた「ツール診断」と、診断員による「手動診断」の2つに分けられます。

ツール診断は短時間、かつ低いコストで実施できる一方で、精度の高さはさほど期待できません。一方で手動診断は、知識を有した専門エンジニアによる高い精度の診断ができるため、システム設計の最終工程とシステム構築の最終工程でなど、適切なタイミングで実施するとよいでしょう。

GSXのクラウドセキュリティ診断はこちら

GSXの脆弱性診断設計書レビューはこちら

GSXのWebアプリケーション診断はこちら

GSXのプラットフォーム診断はこちら

脆弱性とは、コンピューターのOSやソフトウェアにおける、「プログラムの不具合や設計のミスが原因で発生する情報セキュリティ上の欠陥」のことです。脆弱性が発生する具体的な理由には、システムの設計ミスやOS自体の脆弱性、攻撃者によるサイバー攻撃などが挙げられます。

脆弱性の放置はさまざまなリスクが発生するため、情報収集を行う・ソフトウェアやハードウェアの管理を徹底する・定期的に脆弱性やセキュリティの診断を受けるなどして、常に対策を講じなければならないことを覚えておきましょう。

サイバーセキュリティ教育カンパニーの「GSX」では、情報セキュリティ問題を網羅したあらゆるサービスを提供しています。脆弱性の対策を見直し、より強固なものにしたいと考えている企業担当者の方は、ぜひ一度お問い合わせください。