クラウドバックアップ

脆弱性（ぜいじゃくせい）とは？リスクや企業がとるべき対策について解説

By blog Oct 24 2022

日常会話ではあまり使いませんが、情報セキュリティについて論じる際には必ずといってよいほど登場する言葉に「脆弱性」があります。
分かっているようで、意外ときちんと理解していない脆弱性が今回のテーマです。そもそも脆弱性とは何なのか、脆弱性を放置しておくことが非常にリスキーなのはなぜか、企業が行うべき対策について事例も含めて説明します。

クラウドバックアップのおすすめサービスについて知りたい方はこちら

 クラウドバックアップについて知りたい方はこちら

脆弱性（ぜいじゃくせい）とは
 企業が脆弱性を放置しておくリスク
 脆弱性を突かれた企業のサイバー攻撃事例
 企業が行うべき4つの脆弱性対策
 脆弱性対策に役立つ「使えるクラウドバックアップ」
FAQ

脆弱性（ぜいじゃくせい）とは

脆弱性とは、情報セキュリティ上の欠陥のことです。

建物のセキュリティに不備があれば、不審者が侵入し、金品を奪ったり、施設内の設備を破壊したりするリスクがあります。それと同じように、コンピューターのOSやソフトウェアに情報セキュリティ上の欠陥があれば、不正アクセスやマルウェアなどの悪意ある攻撃にさらされやすくなります。

脆弱性が発生してしまう原因

脆弱性が発生する原因として以下の3つが考えられます。

・コーディングや設定などのミス
・設計上の欠陥や予測不足
・新たな攻撃方法

以下でひとつずつ説明します。

コーディングや設定などのミス

コーディングとは、設計されたプログラムをプログラミング言語で記述することを指します。ソフトウェアやOSの開発過程では、バグ（不具合）が必ず発生するため、テストが繰り返されます。しかし、人為的なミスによりセキュリティ上不可欠な設定が漏れることがありえますし、開発段階で将来起こりうるあらゆる攻撃を想定してテストすることは事実上不可能です。

設計上の欠陥や予測不足

開発の上流工程である「設計」段階でのミスが原因になることもあります。設計から実装、運用と開発の工程は進められていくため、上流工程で脆弱性が発生した場合、下流工程でそれを修正することは困難です。それはあたかも歪んだ土台の上に家を建てていくようなものです。

新たな攻撃方法

バグを完全に排除したソフトウェアが開発されたとしても、開発段階では予想しえなかったサイバー攻撃の手法が生み出されれば対処のしようがありません。それは、免疫のない未知のウイルスに対して私たちの体が無防備なのと同じです。

参考：ベアケア「脆弱性とは？脆弱性の原因とリスク、対策について解説」

完全に脆弱性を対策することはできない

ソフトウェアの脆弱性を完全に排除できると考えるのは、病気にかからない身体を期待するようなものです。

上述したように、そもそも完全なソフトウェアを設計したり、プログラミングやコーディングを行うことは実際は不可能です。また、仮に完全なソフトウェアがリリースされたとしても、開発時には予想しようもなかったウイルスが生まれれば、その攻撃には無防備な状態になってしまいます。

企業が脆弱性を放置しておくリスク

企業が脆弱性を放置しておくリスク

プログラムやシステムの脆弱性は完全に排除できませんが、対策をせずにそのまま放置しておくと企業の情報資産はさまざまなリスクにさらされることになります。

ここでは、以下の4つのリスクを取り上げます。

1. ネットワークやクラウドに侵入される
2. マルウェアに感染してしまう
3. 情報を改ざんされる
4. データを盗聴される

ひとつずつ解説します。

リスク1. ネットワークやクラウドに侵入される

プログラムに脆弱性があると、サイバー攻撃者はネットワークやクラウドに侵入します。

具体的には、悪意のあるプログラムが組み込まれた添付ファイルをメールなどで送付するなどしてきます。セキュリティの意識が低いと、安易にそうした添付ファイルは開かれ、プログラムが実行され、内部ネットワークへ侵入されてしまうのです。

侵入後、サイバー攻撃者は以下で説明するマルウェア感染、情報改ざん、データ盗聴などを試みます。

リスク2. マルウェアに感染してしまう

脆弱性を突いた侵入後、企業のシステムやソフトウェアはマルウェアに感染するリスクがあります。マルウェアとは、「malicious（悪意のある）」と「software（ソフトウェア）」を組み合わせた単語であり、不正かつ有害な動作をするように悪意をもって開発されたプログラムやソフトウェアのことです。

具体的には、近年被害が増大しているランサムウェアによって、コンピューターをロックしたり、ファイルを暗号化したりして、企業活動を遂行不能に陥れます。また、企業が保有している重要な顧客個人情報が流出する可能性もあります。個人情報保護に関して企業が求められる責任は年々高まっているため、脆弱性を放置しておくと企業の信用失墜につながり、取り返しのつかない結果になりかねません。

マルウェア対策について知りたい方はこちら

 エモテットについて知りたい方はこちら

リスク3. 情報を改ざんされる

マルウェアに感染した企業の端末内の情報は改ざんされる恐れもあります。

近年、FTPアカウントが盗まれることにより、企業のWebサイトが改ざんされるケースが増大しています。FTP（File Transfer Protocol＝ファイル転送プロトコル）とは、Webページを公開する際に使用されるもので、作成したファイルをサーバにアップロードすることができます。

つまり、このFTPアカウントが乗っ取られれば、サイバー攻撃者は思いのままにWebページを改ざんしたり、悪意のあるプログラムが組み込まれたファイルをアップロードしたりすることができるというわけです。その結果、攻撃を許した企業は被害者であると同時に、多くのユーザに対する加害者にもなってしまうでしょう。

リスク4. データを盗聴される

企業が保有するデータ量は増大するとともに、その重要性も年々増しています。サイバー攻撃者はその情報資産を盗聴しようと虎視眈々と狙っています。

脆弱性を狙った攻撃手法のひとつに「クロスサイト・スクリプティング」があります。2020年のIPA（情報処理推進機構）の調査によると、Webサイトの脆弱性の種類別届出状況において半数以上の58％がこの「クロスサイト・スクリプティング」だったようです。

これは、脆弱性のあるWebサイトに不正なスクリプトを組み込み、ユーザが開いたときに作動するようにするものです。不正なプログラムが実行されれば、サイバー攻撃者はそのユーザになりすましてログインできるようになります。もし、そのサイトがECサイトであれば、クレジットカード情報を不正利用して、買い物することも可能です。

脆弱性を突かれた企業のサイバー攻撃事例

脆弱性を突かれた企業のサイバー攻撃

ここでは実際に脆弱性を突かれ被害を受けた企業の事例を3つ紹介します。脆弱性を狙った攻撃にはトレンドがあることから、情報収集が非常に重要です。

メモリー破損の脆弱性を突いた「ゼロデイ攻撃」

ゼロデイ攻撃とは、ソフトウェアなどの脆弱性が発見されて、ベンダー側が情報公開や対策を講じる前に、行われる攻撃のことです。発見から時間が経過しないうちになされることから「ゼロデイ攻撃」と呼ばれます。

かつてMicrosoft社のInternet Explorer9と10にメモリー破損の脆弱性が見つかりました。現在ではすでにセキュリティパッチが発行されていますが、この脆弱性を突いて、サイバー攻撃者はシステムに侵入、データの改ざんを行ったり、すべての権限を持つユーザを勝手に作成したりしました。

Adobe Flash Playerを悪用した脆弱性攻撃ツール

Webブラウザ上でゲームや動画コンテンツを楽しむためのソフトウェア「Adbe Flash Player」は2020年をもってサポートが終了しましたが、その主な理由がたびたび報告されていた脆弱性でした。

例えば、2015年9月にアドビシステム社は23項目もの脆弱性を修正し、更新版をリリースしたものの、同年10月にはゼロデイ攻撃を受け、サイバー犯罪組織に利用されたといわれています。

巧妙かつ悪質な変化を繰り返す「ランサムウェア攻撃」

近年急増しているサイバー攻撃のひとつがランサムウェア攻撃です。

警察庁が2022年9月に発表した報告によると、2022年上半期に都道府県警察から警察庁に報告があったランサムウェア被害件数は114件で、2021年下半期85件に比べ急増しました。
同報告によると、そのうち12件は復旧まで1カ月以上を要し、27件が復旧や調査に1,000万円以上の費用を要したとのことです。脆弱性を放置するコストは高くつくことがお分かりいただけるでしょう。

参考：大興電子通信株式会社「【企業が震撼したサイバー攻撃事例】防ぐことはできたのか? 原因＆対策まとめ」
参考：キヤノンサイバーセキュリティ情報局「Adobe Flashを利用し続けると、どのような危険があるのか？」
出典：「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf) を加工して作成

企業が行うべき4つの脆弱性対策

企業が行うべき脆弱性対策

完全には取り除けない脆弱性ですが、対策は可能ですし、不可欠です。ここでは、企業が行うべき以下4つの脆弱性対策について説明します。

1. 脆弱性対策ツールやサービスを利用して情報収集を行う
2. 脆弱性診断（セキュリティ診断）を定期的に実施する
3. ハードウェア・ソフトウェアは常に適切に管理する
4. セキュリティツールの力を借りる

ひとつずつ説明します。

1. 脆弱性対策ツールやサービスを利用して情報収集を行う

脆弱性対策ツールやサービスを利用して、自社が使用しているソフトウェアの脆弱性に関する発表、発見された新しいサイバー攻撃などに関して情報収集を行います。

孫子兵法に「彼を知り己を知れば百戦殆（あやう）からず」という言葉がありますが、セキュリティ対策にも当てはまります。サイバー攻撃に適切に対処するためには、自社の脆弱性とともに、敵であるサイバー攻撃者の新たな手法についても、常に気を配っておかなければなりません。

情報収集に活用できるツールとしては以下のようなものがあります。

JVN iPedia（脆弱性対策情報データベース）

JVN（Japan Vulnerability Notes）とは、日本で使用されているソフトウェアなどの脆弱性に関する情報提供を目的としたポータルサイトです。

2004年7月からJPCERTコーディネーションセンターと独立行政法人情報処理推進機構IPAが共同で運営し、脆弱性が確認された製品とバージョン、製品開発者によって提供された対策などを掲載しています。

https://jvn.jp/nav/jvn.html

JPCERT/CC

JPCERT/CCとは、インタ―ネットを介して発生する侵入やサービス妨害などのコンピューターセキュリティインシデントについて、インシデント報告や対応の支援、再発防止のための助言などを行っている組織です。

https://www.jpcert.or.jp/

2. 脆弱性診断（セキュリティ診断）を定期的に実施する

情報の定期的なアップデートと同時に、自社システムの脆弱性を把握するために、セキュリティ診断を実施するのもよいでしょう。

セキュリティ診断には有料、無料のものがあります。有料版のツールはコストがかかりますが、診断後の専門家の知見やアドバイスを提供してもらえるメリットがあります。上述したJPCERT/CCも定期的な脆弱性診断を推奨しています。

3. ハードウェア・ソフトウェアは常に適切に管理する

ソフトウェアだけでなく、ハードウェアにも脆弱性があれば、サイバー攻撃者は容赦なく狙ってきます。ソフトウェアは定期的にアップデートし、パッチが提供されたらすぐに更新するようにしましょう。

脆弱性に関する情報が提供されたとき、すぐに対応できるよう自社で使用しているハードウェア・ソフトウェアの製品情報やバージョンなどを前もって把握しておくことも大切です。

4. セキュリティツールの力を借りる

ゼロデイ攻撃など、発見された脆弱性が狙われるまでの期間が短くなっていることから、セキュリティツールの力を借りて、サイバー攻撃の被害を最小限に抑えなければなりません。

最近は専門的な知識がなくても導入できるクラウド型のセキュリティツールもあるため、活用を検討できるかもしれません。

参考：ベアケア「脆弱性とは？脆弱性の原因とリスク、対策について解説」

脆弱性対策に役立つ「使えるクラウドバックアップ」

脆弱性対策に役立つ「使えるクラウドバックアップ」

使えるねっとが提供する「使えるクラウドバックアップ」も企業をサイバー攻撃から守る安心のツール。脆弱性対策にもおすすめです。

・データスキャンでウイルス検出
・脆弱性診断でセキュリティ対策としても安心
・未知のランサムウェア攻撃を識別する際にも非常に有効

データスキャンでウイルス検出

大切なデータを守るためにデータスキャンを実行。万が一、脆弱性を突かれ侵入されたとしても、ウイルスをすぐに検知します。

脆弱性診断でセキュリティ対策としても安心

情報セキュリティ対策で大切なのは、万が一の侵入のリスクに備えながらも、侵入そのものをかぎりなくゼロに近づけることです。
使えるクラウドバックアップでも、脆弱性診断を行うことで、自社システムの現状を把握できます。

未知のランサムウェア攻撃を識別する際にも非常に有効

未知のランサムウェア攻撃に備えるために、使えるクラウドバックアップが採用しているのが「アクティブプロテクション」。ファイル、バックアップデータ、バックアップソフトへの疑わしい改変を即座に検出・遮断し、即時データを復旧することで大切なデータをランサムウェアから守ります。

ぜひお気軽にお問い合わせください。

使えるクラウドバックアップの詳細はこちら