ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
「iPhone」などのデバイスの保証制度を悪用することで利益を得る「保証詐欺」は、単なる不正にとどまらず、高度な技術を持つ攻撃者を育成する土壌となっている。専門家はどのような警鐘を鳴らしているのか。
2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。
本来は企業を守るはずのPalo Alto Networks製ファイアウォールが、攻撃の入り口になりかねない脆弱性が発見された。認証を回避できるこの脆弱性は、すでに攻撃が観測されている。やるべき対処とベンダーの見解は。
2025年1月下旬にDeepSeekのAIサービスが攻撃の標的になった。攻撃者の狙いは何だったのか。DDoS攻撃の可能性があるが、他の可能性もある。セキュリティ専門家に聞いた。
Appleは、「CVE-2025-24085」として追跡されているゼロデイ脆弱性が、同社のメディア処理フレームワークに影響を与え、iOS 17.2以前のバージョンで悪用された可能性があると発表した。
攻撃者がセキュリティベンダーCyberhavenの「Chrome拡張機能」を改ざんし、悪意のあるバージョンを「Chrome Web Store」で公開していたことが判明した。攻撃者はどのような手口を悪用したのか。
「分離された環境だから仮想マシン(VM)は安全」という認識は正しくない。VMの基本的な仕組みとともに、VMとホストマシンを危険にさらす7つの要因を解説する。
オープンソース印刷管理ツール「CUPS」に危険な脆弱性が見つかった。どのような脆弱性で、悪用されればどうなるのか。「Linux」「UNIX」ユーザーが知っておくべき情報を整理しよう。
修正されていた「Windows 10」の脆弱性が復活し、ユーザー企業は再び攻撃のリスクに直面している。被害状況と、今すぐに講じなければならない対策とは何か。
Cisco Talosは、macOS向けのMicrosoftのアプリケーションに関する脆弱性を報告した。Microsoft ExcelやMicrosoft Teamsといった主要ツール8個が対象になる。どのような脆弱性なのか。
PCのファームウェアに潜む新たな脆弱性が見つかった。当初報告されたLenovo製品だけではなく、他メーカーのPCにも影響が及ぶ可能性がある。どのような危険性があるのか。
Broadcomのハイパーバイザー「VMware ESXi」の脆弱性がランサムウェア攻撃に悪用されている。Microsoftが警鐘を鳴らしたその手口と対策とは。
OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。
暗号化されたファイル転送のために広く使われている「OpenSSH」に重大な脆弱性があることが分かった。影響は決して限定的とは言えない。どのような脆弱性なのか。
Cisco Systems製品の脆弱性が、ArcaneDoorのスパイ活動に悪用されていることが分かった。対策が必要なCisco Systems製品はどれなのか。ArcaneDoorによる攻撃活動の実態とは。
Cisco Systemsの複数製品に関係する管理ツールに重大な脆弱性が見つかった。悪用するプログラムも公開されており、同社はユーザー企業に注意を呼び掛けた。対策を講じなければならないのはどの製品なのか。
Palo Alto Networksのソフトウェア「PAN-OS」の欠陥が見つかり、ユーザー企業が攻撃を受けるリスクが高まっている。影響を受けるPAN-OSのバージョンはどれなのか。
Macから秘密鍵を盗み取る攻撃「GoFetch」は、SoC「M」シリーズの脆弱性を突くものだ。この脆弱性はマイクロアーキテクチャの欠陥に起因するため、簡単に修正する方法はないという。どのような対策があるのか。
「攻撃対象領域」(アタックサーフェス)を特定し、対策を講じる手法として「ASM」がある。組織はASMに取り組む際、何をすればいいのか。ASMに生かせる“5大ポイント”を紹介する。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
攻撃者は、組織のITシステムの脆弱性を常に探している。悪用可能な脆弱性を発見すると、システムへの侵入や企業データへのアクセス、業務運営の妨害を試みる。さまざまなシステムやアプリケーションを保有する大規模な組織では、一つの脆弱性が組織全体への攻撃のきっかけとなる可能性がある。
医療機関や金融機関は、法律や条例で脆弱性対策が求められる場合がある。HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融機関の情報管理やプライバシー保護の要件を定めるGLBA(グラム・リーチ・ブライリー法)、クレジットカード業界のセキュリティ基準のPCI DSS(Payment Card Industry Data Security Standard)といった法律や業界規制は、脆弱性対策の実践を義務付けている。国際標準化機構が策定した情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001」も、脆弱性対策を要求している。
上述のように脆弱性対策は単一のタスクではなく、ITセキュリティチームが継続的に実施する複数のステップからなるプロセスだ。未適用のパッチや設定ミス、保護されていない機密データなどの問題を調査する脆弱性診断に加えて、実際に攻撃が起こった時のリスクを測定するために、システムの脆弱性を意図的に悪用して検証するペネトレーションテストも含まれる。
脆弱性スキャンとペネトレーションテストの結果を用いて、潜在的な脅威を評価するため脆弱性評価を実施する。特定された脆弱性に関する情報は脅威インテリジェンスソフトウェアに取り込まれ、攻撃を受けた場合の影響の大きさや脆弱性の悪用の可能性に基づいてスコア化される。例えばシステムでリモートコードの実行を可能にする未適用のパッチは、高リスクと判断される可能性が高い。
セキュリティチームは、脆弱性の性質に合わせてさまざまな対策を講じ、検出された問題の優先順位付けと修復を実行する。組織のセキュリティチームは、脆弱性が発見されたシステムを担当するIT運用チームに対して、修復を依頼する。IT運用チームが修正パッチを適用した後に、セキュリティチームは脆弱性が適切に修正されたことを確認するためのスキャンを実行する。
脆弱性対策のプロセス全体を通じて、脆弱性の発見や修復の状況は追跡できるようにする。こうすることで組織のセキュリティリーダーと経営幹部は、セキュリティリスクの低減とコンプライアンスのための取り組みをリアルタイムで把握できる。
脆弱性対策のプロセスは、必ずしも順調に進むとは限らない。組織が対策を実施するときに直面する一般的な課題を以下に挙げる。
ITmediaはアイティメディア株式会社の登録商標です。
