column

2018.09.26

パソコンの「脆弱性」とは?

パソコンの脆弱性とは、セキュリティ上の『欠陥』を意味する

みなさんこんにちは。いつもコラムを読んでいただきありがとうございます。
今回のコラムのテーマは「パソコンの脆弱性(ぜいじゃくせい)について」です。

脆弱性という言葉はよくテレビや新聞記事などで見かけますよね。
脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生したパソコンのセキュリティ上の欠陥のことを指します。 この脆弱性を発見し、開発会社へ報告するホワイトハッカーが集まったプロ集団も存在します。開発会社も製品を世の中にリリース後もこの脆弱性を調査、発見し、修正パッチと呼ばれるものを配布します。修正パッチとはワクチンのようなものです。この修正パッチを当てることで脆弱性対策をしていきます。

この脆弱性ですが、IPA「情報処理推進機構」の報告によると、2018年第2四半期だけでソフトウェア製品107件、ウェブサイト51件、合計158件の脆弱性の届出件数がありました。

なぜ「脆弱性」が問題なのか?

それは脆弱性が発見されてから開発し、修正パッチを当てるまでの期間に脆弱性を突いた攻撃を仕掛けるサイバー攻撃の手法があるためです。このサイバー攻撃をゼロディ攻撃と言いますが、欠陥を突いてくるため防御が非常に難しい攻撃手法なのです。

開発会社も脆弱性を発見した段階で、Webサイトなどで脆弱性を利用者へ報告、注意喚起していますが、そこまで確認をする利用者はほとんどいません。逆に、攻撃を仕掛ける悪意のあるハッカーたちが、このWebサイトから脆弱性を知り、攻撃を拡大させるという悪循環に陥っています。
またせっかく脆弱性に対する修正パッチが配布されたとしても、ほとんどのPCでこの修正パッチが当てられていない状況です。 なぜならば修正パッチを当てるかどうかは、最終的にはパソコンの利用者に委ねられるからです。そして利用者は脆弱性がある事すら知らないというのが現状です。

『脆弱性がある』こと以上に『脆弱性があることを知らない』のはもっと大きな問題

皆様がご利用中のパソコンでも高い確率で脆弱性がそのまま放置されています。
ウィルスに感染するパソコンの原因の80~90%はこのセキュリティ上の欠陥=脆弱性を狙った攻撃だとも言われています。ウィルスに感染すると、情報漏洩やパソコンを遠隔操作されてしまい、被害者なのに加害者になる可能性もあります。


ご利用中のウイルスソフト等のホームページを頻繁に確認し、脆弱性の有無やその対策方法を是非把握するように心掛けましょう。
また、脆弱性がないか心配だ、サイバー攻撃から会社の大事な情報『資産』を守りたいという方は、ぜひご相談ください。(参考:情報処理推進機構 脆弱性に関する届出状況 7月25日 2018年第2四半期(4月~6月))