ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
システムに潜む脆弱性を検出するために役立つのが「脆弱性診断」ツールだ。数ある脆弱性診断ツールの中から、“使えるツール”を5つ紹介する。
システムに存在する脆弱性は「脆弱性診断」ツールを使うことで見つけやすくなる可能性がある。主要な脆弱性診断ツール「Open VAS」「Burp Suite」の特徴とは。
「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。
メールに起因する最悪の事態は常に起こり得る。こうした事態の対策と、開封確認メッセージを利用して「メール監査」ができる体制を作っておこう。GDPRに順守しつつ、組織を守る一助となる。
振り込め詐欺や還付金詐欺に利用される「不正口座」を早期に見つけ出すため、さまざまな対策を実施してきたセブン銀行。被害の未然防止に向け、より広い視点で口座の動きを解析するために着手したこととは。
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。
アジャイル開発を導入する企業では、システムが複雑化する傾向があるため、脆弱性対策が難しくなりやすい。こうした環境において、手作業による管理で脆弱性情報を更新し続けるのは困難を極める。解決には、脆弱性対策の自動化が必要だ
インシデントに関するある調査によれば、脆弱性を悪用するエクスプロイトが初期侵入で多く使われる傾向が見て取れるという。中でも多いのが、VPN機器の脆弱性を突いた攻撃だ。不正侵入の入り口を常に探す攻撃者を、どう防げばよいのか。
Microsoft Outlookの脆弱性が相次いで発見されている。同製品の脆弱性を調査するAkamaiによると、同製品の脆弱性が解消しない背景には、“ある機能”が関係しているという。その機能とは何か。
「Microsoft Outlook」の脆弱性を悪用した攻撃が明らかになった。セキュリティ組織は、攻撃者が直接不正アクセスをする手段を失っても危険性が残ることに注意する必要がある。それはなぜか。
「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。
「YouTube」で活発化している暗号資産投資の詐欺。詐欺師はどのような仕組みでユーザーをだましているのか。その被害の実態とは。
Webサイトのクラッシュは、未然に防ぐことがベストだ。だが、そうはいかないときもある。Webサイトがクラッシュしたときに、悪影響を最小限に抑える方法とは何か。
クラウドサービスでWebサイトを運営している場合、何も手を加えていないのにWebサイトのクラッシュが発生することがある。それはなぜなのか。そのとき、まず何をすればいいのか。
重大なバグは発生したら、IT部門に問い合わせが殺到する。それでも冷静に動いて適切に情報発信するための手法がある。緊急時におけるコミュニケーションのノウハウを紹介する。
若い世代は、ホワイトハッカーの分野でも攻撃の分野でも存在感を高めている。なぜ若い世代によるハッキングが広がっているのか。ホワイトハッカーを対象にした調査を基に、その背景を探る。
ユニファイドコミュニケーション(UC)ツールを狙った攻撃が活発化する中、セキュリティ専門家はUCツールベンダーの安全対策が不十分だと指摘する。どういうことなのか。
非接触型決済をブロックするマルウェアが出現した。POS端末を標的とするマルウェア「Prilex」の亜種であり、消費者は物理的な支払いカードを使わざるを得なくなるという。この亜種の“本当の狙い”は何なのか。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
ネットワークの定期的なスキャンや、ファイアウォールのログの記録、実際にシステムに侵入して脆弱性を確認するペネトレーションテスト、脆弱性スキャンなどを実施する。脆弱性の診断(脆弱性評価)やその自動化には、脆弱性スキャンツールを利用できる。業務プロセスに潜む脆弱性を特定するには、ペネトレーションテストが必要だ。このような脆弱性はネットワークやシステムをスキャンしても検出できるとは限らない。
脆弱性の診断結果に基づき、セキュリティの脆弱性を悪用する可能性があるマルウェアや攻撃手法といった脅威を特定する。
特定した脆弱性がサーバやアプリケーション、ネットワークなどのシステムで悪用される可能性があるかどうかを調べ、脆弱性の深刻度と企業にもたらすリスクを分析する。
セキュリティパッチが利用できるようになるまでの期間で、脆弱性が悪用されるのを防ぐ「リスク軽減」の方法を見つけ出す。システムの重要度が高くない場合には、影響のある部分をオフラインにするといった「リスク回避」の策を実行したり、何も対処しない「リスク受容」の判断をしたりする。
脆弱性が発覚したハードウェアやソフトウェアのベンダーからセキュリティパッチを入手して適用する。セキュリティパッチ管理ツールを使用すれば、セキュリティパッチの適用を自動化できる。このプロセスではセキュリティパッチのテストも実施する。
ITmediaはアイティメディア株式会社の登録商標です。
