インターネットが発展し、多様な働き方が推奨されるようになった現代では、脆弱性を突いたサイバー犯罪が横行しています。各企業や個人は脆弱性対策を強化して、データの詐取や改ざんなどのサイバー攻撃に備えなければなりません。
そこで今回は、情報セキュリティにおける脆弱性とは何か、具体的な脆弱性対策などについて詳しく解説します。

情報セキュリティにおける「脆弱性」とは

脆弱性とは、コンピューターが動作するために必要なOS（オペレーティングシステム）やソフトウェアの設計上の不具合や、プログラムの欠陥のことを指しています。このような欠陥は「セキュリティホール」とも呼ばれており、悪質な第三者がセキュリティホールを狙って不正アクセスやウイルス感染によるサイバー攻撃を行い、情報の改ざん・詐取などを引き起こす原因となります。

脆弱性が見つかると、OSやソフトウェアの開発元であるメーカーがセキュリティホールを埋めるための更新プログラムを制作して利用者に提供するのが一般的です。しかし、サイバー攻撃を目論む悪質な第三者たちは、更新プログラムが提供されたとしても、次々と新たな欠陥を発見して別のセキュリティホールから攻撃を仕掛けようとします。このように、サイバー犯罪と脆弱性対策はいたちごっこの状態にあるのです。

脆弱性に潜むリスクとは

前述のように、悪質な第三者は脆弱性を狙ってサイバー攻撃を引き起こそうとします。そのため脆弱性が判明したまま放置してしまうと、自社のネットワークに侵入されて社外秘の機密情報を盗み見られたり、重要なデータが外部に流出したり、データの改ざんが行われたりするなどさまざまなリスクが伴います。

顧客の個人情報を扱う企業であれば、個人情報が流出して企業としての信頼が大きく損なわれる危険性もあるでしょう。さらに、脆弱性を突いて自社のネットワークに侵入した第三者が、自社になりすまして他の企業や個人に攻撃を起こしたり、ウイルスをばら撒いたりするといったリスクも考えられます。脆弱性を放置することで、自社が被害者になると同時に、加害者になってしまう危険性もあるのです。

脅威とリスクのちがい

脅威とリスクという言葉は似ているもののように捉えられがちですが、意味合いとしては少し異なります。「脅威」という言葉は、組織に対して悪影響をもたらす「原因」を指しています。一方で「リスク」という言葉は、組織に対して悪影響をもたらす「可能性」のことです。

ある企業のサーバーに脆弱性が見つかったとき、その脆弱性は第三者からの不正アクセスやデータ改ざんなどの悪影響をもたらす「可能性＝リスク」があるといえます。もし脆弱性が見つかった企業のサーバーで実際にウイルスや不正アクセスなどのサイバー攻撃があったとすれば、そのサイバー攻撃は組織に対して悪影響をもたらす「原因＝脅威」と捉えられます。

つまり脆弱性というリスクは、「まだ実際に被害がもたらされているわけではないものの、放置すると何らかの脅威によって将来的に被害を引き起こす可能性」のことを指しています。そのため、早い段階で脆弱性を見つけ出し、対策を講じることが重要です。

脆弱性のリスク

脆弱性を放置すると、次のようなリスクを引き起こす可能性があります。

ネットワークへの侵入

脆弱性が見つかると、悪質な第三者はその部分を突いてネットワークへ不正に侵入することがあります。企業などがネットワークに侵入されると、データを盗み見たりパソコンを乗っ取って操作ができないようにしたり、企業になりすまして他社にメールを送信したりと、さまざまな不正操作を行うことが可能になります。

後述するデータの盗聴や情報の改ざんも基本的にはネットワークに侵入して行われるため、脆弱性対策を行って自社のネットワークセキュリティを強固に保つことが重要です。

データの盗聴

データの盗聴も脆弱性を放置することによって高まるリスクのひとつです。脆弱性を狙って自社のネットワーク上に入り込んだ上で、社内のファイル共有サーバーなどに侵入して機密情報や顧客情報、送受信されるメールの内容などを盗み見ます。

企業の機密情報であれば未発表の新製品情報が流出したり、顧客情報が外部に流出したりと自社にとって大きく利益を損ねたり信頼を失ったりする可能性が高いリスクです。

マルウェア感染

脆弱性を突いたマルウェアへの感染リスクも懸念されます。マルウェアとは「悪意をもって作成されたソフトウェア」の総称であり、ウイルスもマルウェアの中に含まれます。他にもトロイの木馬やワーム、スパイウェアのように、悪質な第三者によって企業や個人に何らかの被害をもたらすソフトウェアは全てマルウェアと呼ばれています。

脆弱性を狙ってマルウェアに感染させられると、業務の進行上さまざまな影響が出たり、知らずのうちに他社を攻撃したり、情報漏洩を引き起こしたりする可能性があります。

マルウェアの感染は悪質な第三者が自らネットワークに侵入して感染させるケースもありますが、メールにマルウェアを添付して開封させる、企業のWebサイトにマルウェアを仕掛けて訪問したパソコンを感染させる、USBメモリにウイルスを仕込んでばら撒くなどさまざまな手口が存在します。

情報の改ざん

脆弱性を放置して自社のネットワークに侵入されると、知らずのうちに情報を改ざんされる恐れがあります。例えば社内の経理情報を統括しているシステムに侵入されて売上に関する情報を書き換えられたり、自社のWebサイトの情報を勝手に変更されたりといった被害が考えられます。

他にも直接的に業務に関わるファイルを改ざん・削除されるなど、ネットワークに侵入されると自由自在に自社のファイルに手を加えられてしまうリスクが高まります。

脆弱性が発生する理由

これまで脆弱性によるさまざまなリスクについてお伝えしてきましたが、なぜ脆弱性は発生してしまうのでしょうか。

冒頭でも言及したように、OSやソフトウェアを開発する際にプログラムに何らかの欠陥が生じると、その欠陥が脆弱性となってサイバー攻撃の対象とされてしまいます。

欠陥が生じてしまう原因は、プログラム開発時にユーザーが入力する情報に対して十分な対策を行いきれないままリリースしてしまうことが大きいとされています。プログラム設計の上流工程で脆弱性が生まれたまま、そのことに気がつかずに下流工程まで開発が進んでしまうと、開発の終盤で脆弱性を回避することは難しくなります。このようなケースでは、リリース後に更新プログラムを適用することで脆弱性対策を行うのが一般的です。

加えて、OSやソフトウェアはリリース前に入念な動作検証を行いますが、既存の攻撃方法に対する脆弱性対策を完璧に講じたとしても、悪質な第三者は日夜新たな攻撃方法を生み出しています。すると事前の脆弱性対策だけでは対応が追いつかず、プログラムの欠陥を狙ってサイバー攻撃が行われ、企業や個人にさまざまな被害をもたらしてしまうのが実情です。

脆弱性を悪用したサイバー攻撃事例

大手企業でも脆弱性を悪用した数々のサイバー攻撃事例が報告されています。例えば2019年9月には、金融機関が開発しているスマホ決済アプリのテスト用システムに第三者が不正アクセスするというサイバー攻撃がみられました。

幸いにもユーザー情報などは流出していないことが判明しましたが、調査過程で加盟店や個人情報の漏洩が疑われ、多くのユーザーを巻き込むこととなりました。

最近の働く環境の変化と悪用される脆弱性の変化

近年ではリモートワークなどが積極的に行われるようになり、働く環境が変化しつつあることによって、悪用される脆弱性も少しずつ変化してきています。ここでは、特に被害を拡大しつつある3つの脆弱性について解説します。

マルウェア

前述のように、マルウェアとは悪意のあるソフトウェアの総称です。ウイルスやワーム、トロイの木馬などさまざまなマルウェアがありますが、中でも近年では「ランサムウェア」というマルウェアによる被害が急増しています。

ランサムウェアとは「身代金を目的としたマルウェア」のことで、感染した端末の操作やデータへのアクセスをロックした上で、「ロックを解除してほしければ身代金を支払え」と脅迫するために用いられます。世界の大手企業でもランサムウェアによる被害を受けた事例は数多く存在しており、不審なファイルを開かない、セキュリティソフトを最新の状態にしておくなどの基本的な対策を今一度意識することが重要です。

ゼロデイ攻撃

ゼロデイ攻撃とは、「ソフトウェアがの脆弱性が発見された直後の、更新プログラムがまだ提供されていない段階でサイバー攻撃を行うこと」です。

ソフトウェアの開発メーカーは脆弱性が発見されるとプログラムに修正を施して更新プログラムを提供しますが、脆弱性が発見されてすぐに更新プログラムを完成させることは不可能です。

プログラムの開発に時間がかかることを利用していち早く悪質な第三者がサイバー攻撃を計画することで、更新プログラムが適用される前に被害に遭う企業が増えています。ゼロデイ攻撃は防ぐことが非常に難しいサイバー攻撃のひとつであり、日頃から企業単位で不正アクセスやマルウェア感染を防止するためのセキュリティ対策を講じる必要性があるといえるのです。

VPN関係の脆弱性

リモートワークを行う際は、社外から社内のネットワークに接続するために「VPN」という技術を利用します。このVPNに脆弱性が見つかると、社内ネットワークに不正アクセスしてデータの盗聴や改ざんなどが行われる可能性が高くなります。

VPNは社内ネットワークそのものの脆弱性もサイバー攻撃の原因になりますが、利用する従業員のセキュリティ意識の低さがサイバー攻撃を引き起こすこともあります。VPNを通じた社内ネットワークへの接続はログインIDとパスワードで行うのが一般的であり、ログイン情報の管理が甘いことも第三者による不正アクセスの原因のひとつです。

脆弱性についての情報収集方法

サイバー攻撃の標的となる脆弱性は日々新たに発見されるため、定期的に情報収集を行って対策することが大切です。

ここでは、脆弱性について情報を集めるための2つの方法をご紹介します。

JVN iPedia（脆弱性対策情報データベース）

JVNとは「Japan Vulnerability Notes」の略であり、日本語で「脆弱性対策情報データベース」と呼ばれるデータベースです。日本に存在するさまざまなソフトウェアの脆弱性に関する情報や対策について掲載しており、情報セキュリティ対策に寄与するためのポータルサイトとなっています。

JVNでは「情報セキュリティ早期警戒パートナーシップ制度」に則って報告された脆弱性関連の情報のほか、海外の機関とも連携して脆弱性に関する情報も掲載しています。対策のための具体的な更新プログラムだけでなく、回避策が提示されることもあります。

JPCERT/CC

JPCERT/CCとは、「Japan Computer Emergency Response Team/Coordination Center」の略称であり、インターネットを介した不正アクセス被害に対応するための情報提供機関です。セキュリティに関する情報を発信しており、国内の不正アクセス情報をまとめて、3か月単位で届け出があった件数や特に多い手口などを一般に公開しています。

脆弱性対策のポイント

企業が個々に脆弱性対策を行うにあたっては、次の2つのポイントを意識することが大切です。

ソフトウェアのバージョン管理

社内で利用しているソフトウェアは、常に最新のバージョンが維持されているかどうかを確認できる管理体制を整えましょう。

ソフトウェアは最新のバージョンが提供されるたびに更新プログラムが適用され、その時点で判明している脆弱性への対策が施されます。古いバージョンのまま使い続けると、必要な脆弱性対策が施されていないままとなり、サイバー攻撃の被害に遭うリスクが高まります。

脆弱性情報は一次情報を確認する

脆弱性に関する情報は、開発元のメーカーから発信される一次情報を確認する習慣をつけることが大切です。二次情報や三次情報は公式の発信と異なっていたり、古い情報が掲載されていたりする可能性があるため、一次情報を確認することによって錯綜する情報に惑わされず最新の対策を取ることが可能になります。

脆弱性対策に役立つ、LANSCOPE オンプレミス版

脆弱性対策を行うためには、利用しているソフトウェアを常に最新のバージョンに保ち、セキュリティパッチを適用することが大切です。最後に、脆弱性対策に役立つLANSCOPE オンプレミス版についてご紹介します。

セキュリティパッチ情報をダッシュボードで配信

LANSCOPE オンプレミス版では、最新のセキュリティパッチ情報をダッシュボードで配信します。LANSCOPEを起動するだけでどのセキュリティパッチが配信されているのかをひと目で把握できるため、確認の手間を省き、更新漏れを最小限に抑えられます。

パッチ対策に必要なすべての情報を収集して管理者に通知！

LANSCOPE オンプレミス版はパッチ対策に必要なすべての情報を収集して管理者に通知する機能を備えているため、脆弱性対策のために担当者が必要な情報を自ら集める必要がありません。

「脆弱性対策が重要なことは分かっているけれど、何をすれば良いのか分からない」「セキュリティパッチを適用するために情報収集する時間がない」という方でも、LANSCOPE オンプレミス版なら簡単に脆弱性対策を行えます。

セキュリティパッチ（更新プログラム）単位で適用状況を確認

セキュリティパッチを適用するにあたって、ダッシュボードを活用した最新情報の配信や必要な情報の収集だけでなく、セキュリティパッチ単位で適用状況を確認することも可能です。社内で利用中のソフトウェアの中で最新の状態になっていないものをすぐに把握できるため、セキュリティを手軽に維持できます。

まとめ

多様な働き方が推奨されるようになり、リモートワークの普及なども手伝って、脆弱性を狙ったサイバー攻撃はさらに深刻化しています。各企業や個人が十分な脆弱性対策を講じて、悪質な第三者からの攻撃に備えることが大切です。

日頃から脆弱性に対する情報収集を行う習慣を身につけるとともに、更新プログラムの適用情報を管理するためのソフトウェアを導入することも視野に入れて、万全のセキュリティ対策を行いましょう。

脆弱性対策に役立つLANSCOPE オンプレミス版について、詳しくはこちら。