「脆弱性」とは何か?

こんにちは。マーケティング部です。
いきなりですが、皆さんは「脆弱性」と聞いて何を思い浮かべるでしょうか。日常に馴染みのない言葉ということもあり、詳しい内容を理解していない方もいらっしゃると思います。

ソフトウェア等に潜む「脆弱性」はサイバー攻撃やクラッキング攻撃の対象となる格好の的となります。
ですので、攻撃を防ぐ第一歩として、「脆弱性」を正しく理解することが必要です。そこで今回改めて「脆弱性」について解説します。セキュリティへの理解を深め、また具体的なセキュリティ対策の実施に繋がればと思います。

脆弱性とは

改めまして「脆弱性」とはなんでしょうか?
独立行政法人 情報処理推進機構セキュリティセンターによると以下のように記載されています。

“「ソフトウェア等におけるセキュリティ上の弱点」のこと” 

-独立行政法人情報処理推進機構セキュリティセンター

「 IPA脆弱性対策コンテンツリファレンス」2020.6月資料より引用 
HTTPS://WWW.IPA.GO.JP/FILES/000051352.PDF

IPAの記述の通り“セキュリティ上の弱点”である脆弱性ですが、これは悪用されうる、つまり攻撃対象となる
非常に危険性の高い弱点と言えます。では悪用、攻撃される脆弱性にはどのようなものがあるでしょうか。


TheBestVPN.comは2020年3月6日(米国時間)、主要なOSやWebブラウザ等で見つかった
脆弱性の調査結果を発表しています。

“2019年に報告された脆弱性を種類別に見ると、コード実行の脆弱性(25.3%)、クロスサイトスクリプティング(XSS)の脆弱性(17.7%)、オーバーフローの脆弱性(13.9%)、サービス妨害(DoS)の脆弱性(10.2%)、情報入手の脆弱性(10.0%)が上位を占めた。”

-@IT「ソフトウェア脆弱性は2019年にどう変わったのか? TheBestVPN.comが報告」

2020年3月11日掲載より引用※調査実施:2019年
HTTPS://WWW.ATMARKIT.CO.JP/AIT/ARTICLES/2003/11/NEWS120.HTML

難しい言葉が並んでいますが、脆弱性を悪用されるとコンピュータに命令を送る部分を乗っ取られ
意図しない動作が実行されたり、それによりwebページの改ざんや他のコンピュータを攻撃するための踏み台となる
マルウェアを埋め込まれたり、様々な攻撃が引き起こされます。

これらは企業にとってサービス停止や情報漏洩にも繋がるため非常に大きな脅威となります。

脆弱性を生む要因①

ではなぜ、ソフトウェアの脆弱性が攻撃の対象となってしまうのでしょうか。
その要因の1つに、ソフトウェアの性質が挙げられます。

ソフトウェアは、ハードウェアと比較して言葉の通り“柔軟”であるのが特徴です。つまり、「加えたい機能を実装し、製品自体をアップデートできる」利点があります。それゆえに機能を追加したり仕様を変更すると、その度にどこか別の箇所で副作用のように“不具合”や“脆弱性”が生じる可能性があります。

攻撃者はそのように脆弱性が生じやすいソフトウェアを常に分析しており、日々攻撃手法も多様化するため攻撃対象となり易いと考えられます。

脆弱性の要因②:アプリ開発者のセキュリティ意識不足

調査によると、アプリ開発者のうち75%がセキュリティについて不安を抱いていると明らかにしています。

WhiteHat Securityは米国時間11月21日、アプリケーションのセキュリティに関する調査レポートを公開した。同レポートによると、開発者の大半(85%)はコーディングや開発プロセスにとってセキュリティは非常に重要だと考えている一方で、75%はそういったアプリのセキュリティについて危惧しており、サイバーセキュリティにまつわる懸念と、アプリケーションに求められるサイバーセキュリティのサポートが乖離(かいり)していることが明らかになった。”

-ZNetIapan「開発者の75%がアプリのセキュリティを懸念–問題の所在は」

2019年12月10日掲載より引用 ※調査公開日2019年11月21日
HTTPS://JAPAN.ZDNET.COM/ARTICLE/35146128/

実はアプリ開発をする中で優先順位が高い項目は“コンテンツ”や“機能実装”であることが多く、セキュリティは開発工数も多分にかかるためコストの観点からも後手に回るケースが少なくありません。

この現状についても同様に調査結果が出ているようです。

“同レポートによると、アプリ開発において、セキュリティ対策よりも決められたリリース日に間に合わせる方を優先すると答えた回答者が43%にものぼっている” 

-ZNetIapan「開発者の75%がアプリのセキュリティを懸念–問題の所在は」

2019年12月10日掲載より引用 ※調査公開日2019年11月21日
HTTPS://JAPAN.ZDNET.COM/ARTICLE/35146128/

今後大きくなる脆弱性への危険性

近年”ゼロディ攻撃”と呼ばれる脅威が増えています。これは、配信中のソフトウェアに見つかった脆弱性への対策が完了する前に攻撃を仕掛ける行為です。通常不具合があった場合に修正プログラムをアップデートしますがその隙を狙うという巧妙な手口です。IT化が進みスマートフォンやアプリ利用の増加に伴いこうした悪意を持ったサイバー攻撃の勢いは更に増すでしょう。

また、開発技術が発展・汎用化している事例も見られます。それは、“ノーコード”“ローコード”開発と呼ばれ、難しいコードの入力を簡略化し費用を抑えてアプリが簡単に開発できるというサービスです。

コーディング知識のない人でもアプリ開発ができるという点で便利なサービスですが、アプリ開発段階でのセキュリティ処理には手を加えられないため、セキュリティ対策が十分でないアプリがリリースされる可能性が考えられます。
※サービスを利用する際はプラットフォームの特長を良く理解し、セキュリティリスクについても理解が必要です。

今後アプリの増加に伴い、より一層こうした脅威が大きくなる危険性があるため
アプリ開発者や開発企業として、「脆弱性」についての理解と継続的な注意喚起が必要と言えます。