おはようございます。こんにちは。こんばんは。
ミッドです。
昨日パッチチューズデイの話題を上げたので、ついでに脆弱性の話をしたいなと思います。わかりそうでわからない脆弱性の話、知ってると少しだけIT業界で分かった風になれる気がします。
脆弱性って何?
脆弱性とは、OSやソフトウェアにおいて、開発者が意図していない不具合や設計上のミスが原因で発生するセキュリティ上の欠陥のことです。不具合はわかりやすく言うと、ゲームのバグみたいなものです。特定の場所で特定のボタンを順番に押すと、アイテムが変化したりみたいな。この不具合を利用して、パソコンの操作権限を乗っ取ったり、情報搾取できたりするものを脆弱性と呼ぶわけですね。
コンピュータウイルスと何が違うの?
パソコンに悪さするという点では、脆弱性とコンピュータウイルスは同じ立ち位置で語られることが多いですね。しかし脆弱性は、もともと存在していた不具合に対し、コンピュータウイルスは攻撃者が作成した悪意あるプログラムなので、成り立ちは異なります。
また、コンピュータウイルスをパソコンに感染させようとすると、様々なセキュリティに阻まれて大変なので、脆弱性を利用しあたかもそのパソコンの管理者のように振る舞い、コンピュータウイルスをパソコンにインストールさせることが良くある手法です。
脆弱性を悪用して、コンピュータウイルスを送り込むという訳ですね。
尚、パソコンを騙すより、人を騙したほうが簡単な場合があり、スパムメールとかは人の脆弱性をついて、誰か開く人いないかな~と一杯メールを送り付けてくる感じです。(実際には、メールを開かせたうえで脆弱性を利用して、ウイルス送り込むとかです)
具体的にどんなものがあるの?
少し前の話になりますが、2017年に世界的に大流行したWannaCryという身代金型コンピュータウイルス(ランサムウェア)も、パソコンの脆弱性を利用して爆発的に感染が広がった事例になります。
WannaCryは、SMBv1というファイル共有やプリンタ共有の通信に使われるプロトコル(決まり事)の脆弱性を利用し、パソコン上のデータを書き換えることでウイルスに感染させ、さらに同一ネットワーク上で同様の脆弱性を持つパソコンを探し、そのパソコンにも感染させるという機能を持っていました。そのため、会社内などで爆発的に感染が広がる結果となりました。
特に、被害が大きいとされたのが医療関係のパソコンで、病院内のネットワークは外部に出ておらず、クローズド(閉じられた)のネットワークでしたが、外部に持ち出したパソコンが外でWannaCryに感染し、それに気づかずに病院内のネットワークに接続したことで、感染が広まり、診療に使っていたデータが利用できなくなったということもあります。
クローズドのネットワークだからパッチを適用して、脆弱性を埋めなくても安心!と思いつつ、クローズドの環境に、外からのパソコンが入ってきて、そこから感染拡大するという目も当てられない状態ですね。(本来はクローズドの環境に入れちゃいけないと思います)
まとめ
脆弱性は開発者が想定していない不具合によるセキュリティ上の欠陥。脆弱性を利用されて、情報漏えいやパソコンが乗っ取られるという事例はいっぱいあるので、パッチが出たら早めに適用するようにしましょう。
とはいえ、パッチ自体に不具合があったり、環境を変えたくない等の理由で、パッチを適用できない環境とかもあるので一概には言えませんが、セキュリティを担当している人たちからすると、(つべこべ言わず)適用してくださいが合言葉みたいな感じです。適用しない場合は、しないなりのリスクヘッジをしましょう。
ではでは