情報セキュリティマネジメント試験 用語辞典
- 分野:
- 情報セキュリティ » 脆弱性
- 重要度:
(Wikipedia セキュリティホールより)
セキュリティホール (security hole) とは、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)のひとつで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。
このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴い、セキュリティホールがネットワークを介して容易に攻撃されうる状態になっているからである。
原因としては、プログラムのコーディング間違いや、システムの設定間違い、システム設計上の考慮不足、故意に作られ秘密にされた機能の漏洩などがある。
脆弱性
脆弱性は、英語の vulnerability の日本語訳である。この分野での意味は「弱点」であり、セキュリティホール(安全性欠陥)と類似している。ただし、セキュリティホールがより具体的な欠陥を指す傾向があるのに対して、脆弱性は欠陥だけではなく、たとえ意図した(要求仕様どおりの)動作であっても、攻撃に対して弱ければ、つまり「弱点」があれば用いるという点が異なる。たとえば、災害や、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃(ソーシャルエンジニアリング)といった、原因がコンピュータシステムだけに収まらない弱さに対しても用いられる。また、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については脆弱性のほうが好まれる。
セキュリティホールに関連した騒ぎ
2001年秋、IIS の欠陥をついたワーム "CodeRed"、"Nimda"が多くのコンピュータに感染した。
2003年1月には Microsoft SQL Server の欠陥を利用した "Slammer" 、8月には Windows 2000/XP の欠陥を利用した "MSBlaster" というワームが猛威を振るった。
その後も、Microsoft Windows や IIS など、主としてマイクロソフト製ソフトウェアのセキュリティホールを利用して感染する、ワームやウイルスが出現し、騒ぎとなっている。
対策としては、まずファイアウォール、または IPマスカレード (NAPT, NATP, eNAT とも) に対応したルータを導入し、外部から試みられる接続をすべて遮断した後に、修正モジュールのダウンロード・インストール (Windows では Microsoft Update) をこまめに行う処置が中心となる。
ゼロデイアタック
セキュリティホールを狙った攻撃が、セキュリティホールの修正プログラムや修正バージョンが提供される前に起こること。QHosts や Download.ject などが、ゼロデイアタックだったのではないかといわれている。
エクスプロイト
エクスプロイト (exploit) とはソフトウェアの脆弱性を攻撃すること、及びその方法をいう。
- 情報セキュリティの考え方(10)
- 情報セキュリティの重要性(2)
- 脅威(23)
- 脆弱性(2)
- 不正のメカニズム(1)
- 攻撃者の種類(3)
- 攻撃の動機(1)
- サイバー攻撃手法(38)
- 暗号技術(11)
- 認証技術(5)
- 利用者認証(8)
- 生体認証技術(3)
- 公開鍵基盤(6)
このページのWikipediaよりの記事は、ウィキペディアの「セキュリティホール」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。