翻訳システムや電子辞典を開発する企業が2021年9月、不正アクセスを受けて顧客のメールアドレス約12万8000件が流出したと発表した。原因はWebサーバーの脆弱性だとした。

 内閣サイバーセキュリティセンター(NISC)は2021年4月、ランサムウエアの侵入につながるとして外部ネットワークからアクセス可能な機器の脆弱性に対応するよう呼びかけた。ランサムウエアは感染したコンピュータのファイルを使用不可能にしたり窃取したりするマルウエアで、これを利用したサイバー攻撃による甚大な被害が世界中で発生している。

 こうした被害を引き起こす「脆弱性」とは一体どんなものか。文字通りの意味は「もろくて弱い性質」だが、情報セキュリティー上の脆弱性は情報処理推進機構(IPA)が「ソフトウエアなどにおけるセキュリティー上の弱点」と定義している。「ソフトウエアなど」とあるのはソフトウエアそのものではなく、システムの運用体制や利用者のミスなどが要因となる脆弱性も含むためだとみられる。

 ここではソフトウエアそのものに起因する脆弱性をより詳しく見ていく。そして、「脆弱性がどうして被害につながるのか」「新しい脆弱性が次々と見つかるのはどうしてか」といった疑問に答えよう。

バグとの決定的な違い

 脆弱性はソフトウエアの設計者や利用者にとって、想定外の動作を引き起こす要因の1つである。脆弱性のことをよく知るには、ソフトウエアの想定外の動作を引き起こす「バグ」との違いを考えると分かりやすい。

 バグとは、ソフトウエア(プログラム)の間違いのことである。間違いにより、プログラムの動作不良やデータ破壊といった想定外の動作を引き起こす。このため、バグがあると被害が発生する可能性があるが、攻撃者は存在しない。

 一方の脆弱性は、ソフトウエアが意図しない動作をする欠陥で、攻撃者がこれを悪用すると攻撃を受けてしまう可能性がある。攻撃者が悪用した場合、システムに侵入されたり、悪意のコードを実行されたりする。これにより、情報漏洩やウイルス感染、システムの乗っ取り・破壊、サイトの改ざんといったさまざまな被害が発生する。脆弱性があっても、攻撃者がいなければ被害は発生しない。なお、悪用されて攻撃を受ける可能性があるバグも脆弱性と呼ぶ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。