ITにおける脆弱(ぜいじゃく)性とは、ソフトウェアに含まれる、セキュリティ侵害の起点になり得る欠陥を指す。侵入者は脆弱性をサイバー攻撃経路として悪用することで、標的のシステムで悪意のあるプログラム(マルウェア)の実行や、メモリへのアクセスができるようになる。(続きはページの末尾にあります)
若い世代は、ホワイトハッカーの分野でも攻撃の分野でも存在感を高めている。なぜ若い世代によるハッキングが広がっているのか。ホワイトハッカーを対象にした調査を基に、その背景を探る。
ユニファイドコミュニケーション(UC)ツールを狙った攻撃が活発化する中、セキュリティ専門家はUCツールベンダーの安全対策が不十分だと指摘する。どういうことなのか。
非接触型決済をブロックするマルウェアが出現した。POS端末を標的とするマルウェア「Prilex」の亜種であり、消費者は物理的な支払いカードを使わざるを得なくなるという。この亜種の“本当の狙い”は何なのか。
IT製品の脆弱性は避けられない。「iPhone」「iPad」といったApple製品も同様だ。セキュリティ専門家は脆弱性そのものの危険性に加えて、脆弱性に対するAppleの姿勢に厳しい目を向けている。どういうことなのか。
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。
IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。
「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。
Mastercardは不正利用防止のためにAI技術を活用している。どのように生かしているのか。同社幹部に聞いた。
マルウェア感染の主要な経路となっているWebブラウザ。その安全性を高めるべく、ベンダー各社は知恵を絞っている。Webブラウザセキュリティの現状を追う。
なりすましメールを使った企業版振り込め詐欺ともいわれる「ビジネスメール詐欺」(BEC)。その手口はどのようなものなのか。具体的な被害は。調査結果を交えながら紹介する。
「Google Chrome」は、中国の認証局WoSignが発行した証明書を信頼できる証明書としては扱わない方針にした。この決定に至ったいきさつと、WoSign認証局の証明書を使用中のユーザー企業が取るべき対策を解説する。
「ランサムウェア」の被害は増えているが、身代金を支払わない企業が大半を占めていることが、2016年8月に実施されたOsterman Researchの調査で判明した。ランサムウェア攻撃に屈しないためにはどうすべきか。
以前から指摘されてきた「Flash」の危険性。事実上の後継技術と目される「HTML5」が普及の勢いを強め始める中、Flashはこのまま消えゆく運命なのだろうか。
「Java」の安全性を取り巻く状況は、いまだ好転していない――。米セキュリティ企業が発行したソフトウェアの脆弱性に関する調査リポートから、そんな現状が見えてきた。
YouTubeが「Adobe Flash Player」をデフォルトの動画再生プレーヤーとして使用するのをやめ、「HTML5」に移行したと発表。これは、久しく待ち望まれてきたFlashの廃止につながるのか。
脆弱性が度々報告される「Internet Explorer」(IE)は本当に危険なWebブラウザか。セキュリティの研究者は「IEのセキュリティレベルは他のブラウザと同程度か、それ以上だ」と話す。
アプリケーション脆弱性の公表件数が増加。Javaの脆弱性に攻撃者が注目――。米Microsoftの報告書を基に、2012年上半期のセキュリティ動向を総ざらいする。
Stuxnetなど、今後脅威が増すであろう産業システムや組み込み機器の脆弱性を狙う攻撃への対策として、マカフィーとウインドリバーは戦略的に製品統合を進める。
攻撃者は脆弱性を
といった、さまざまなサイバー攻撃手法に悪用する。脆弱性が発覚してから、その脆弱性が解消されるまでの期間を狙うサイバー攻撃を「ゼロデイ攻撃」と呼ぶ。
脆弱性対策は、ハードウェアやソフトウェアの攻撃経路になり得る欠陥を特定し、分析、対処する手法で構成される。脆弱性対策は、一般的には以下のプロセスを踏む。
ネットワークの定期的なスキャンや、ファイアウォールのログの記録、実際にシステムに侵入して脆弱性を確認するペネトレーションテスト、脆弱性スキャンなどを実施する。脆弱性の診断(脆弱性評価)やその自動化には、脆弱性スキャンツールを利用できる。業務プロセスに潜む脆弱性を特定するには、ペネトレーションテストが必要だ。このような脆弱性はネットワークやシステムをスキャンしても検出できるとは限らない。
脆弱性の診断結果に基づき、セキュリティの脆弱性を悪用する可能性があるマルウェアや攻撃手法といった脅威を特定する。
特定した脆弱性がサーバやアプリケーション、ネットワークなどのシステムで悪用される可能性があるかどうかを調べ、脆弱性の深刻度と企業にもたらすリスクを分析する。
セキュリティパッチが利用できるようになるまでの期間で、脆弱性が悪用されるのを防ぐ「リスク軽減」の方法を見つけ出す。システムの重要度が高くない場合には、影響のある部分をオフラインにするといった「リスク回避」の策を実行したり、何も対処しない「リスク受容」の判断をしたりする。
脆弱性が発覚したハードウェアやソフトウェアのベンダーからセキュリティパッチを入手して適用する。セキュリティパッチ管理ツールを使用すれば、セキュリティパッチの適用を自動化できる。このプロセスではセキュリティパッチのテストも実施する。