ゼロデイ攻撃、餌食は「アップデート」甘く見る人 ソフトウェアの脆弱性突くサイバー攻撃の1つ
東洋経済オンライン / 2024年6月5日 8時0分
Webカメラやオフィスのルーター、VPN装置は設置されると壊れるまで稼働させるのが普通で、脆弱性が発見されたとしてもセキュリティアップデートができず(おそらく手動で行う必要がある)、ゼロデイ攻撃の標的となりやすい。ネット家電も同様のリスクを抱えているので、今後もゼロデイ攻撃の増加傾向は続く可能性が高い。
クラウド化やDXも、ゼロデイ攻撃の増加に関係している。現在のソフトウェア開発では、すべての機能を一からプログラムすることはせず、ソフトウェア部品を購入して組み合わせる、あるいはクラウド上の機能と連携させて1つのシステムやアプリケーションを構築する。
この中の1つに脆弱性が存在すると、無数のソフトウェア製品やウェブサイトに脆弱性が遍在することになり、すべてにセキュリティパッチを当てることは困難だ。
基本の対策はセキュリティアップデート
先ほど、ゼロデイ攻撃は脆弱性情報が公開されると増えるという話をした。ならば情報を公開しなければ安全なのではないか、という疑問が湧く。情報の秘匿による安全性の確保は確かに有効だが、ソフトウェアの脆弱性、サイバー攻撃においては必ずしも適用できない。
ハッキングやサイバー攻撃が始まったとされる1970年代からの業界の知見によって、脆弱性を秘匿しても攻撃者や犯罪者に知れ渡るのは時間の問題であることがわかっている。秘匿するより公開してパッチを当てたほうが全体として安全性が保たれるのだ。
したがって、開発メーカーに求められるのは、透明性と脆弱性情報の正しい共有体制となる。メーカーの開発者やユーザーが発見した脆弱性は、国際的に一元管理される仕組みが整備されているので、企業や組織ごとに勝手な判断をしない、通報や指摘があっても秘匿すれば安全だろうという考え方は捨てることだ。
企業や一般ユーザーが取れる対策は、1にも2にもセキュリティアップデートを確実に行うこと。
自動アップデート設定は有効にしておく。その機能がない場合は、メーカーや開発元、IPAやJPCERT/CCなどが公表する脆弱性情報にも注意を払い、確実に実施するようにしたい。修正プログラムの開発が困難な場合は、緩和策、防御策だけが公開されることもある。この場合も可能な限り対策を実施することが重要だ。
アップデートを行うと業務システムに影響が出るという場合も、緩和策の実施や代替の防御策を検討して実施する必要がある。システム上やむを得ないこともあるが、現在はセキュリティアップデートで支障が出るようなシステム設計にはすべきではない。
この記事に関連するニュース
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
VicOne独自のゼロデイ脆弱性検知と文脈化された攻撃経路のソリューションがAWS Marketplaceで利用可能に
PR TIMES / 2024年6月19日 10時15分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
押さえておくべき脆弱性の最新情報
マイナビニュース / 2024年5月30日 11時53分
ランキング
-
1メルカリとリクルートはタイミーの牙城を崩せない、これだけの理由
ITmedia ビジネスオンライン / 2024年6月27日 13時50分
-
2MS365アクセス障害か マイクロソフト「調査中」
共同通信 / 2024年6月27日 13時44分
-
3ダイキン株主総会は井上氏への43億円「功績金」を可決 「もっと高くてもいい」株主も賛同
産経ニュース / 2024年6月27日 14時50分
-
4「東京チカラめし63店舗」を即決買収…壱角家が「家系ラーメンのチェーン展開」で大成功できた理由
プレジデントオンライン / 2024年6月27日 10時15分
-
5アップル、グーグルなどメーカーがチューチューしてきた"修理利権"が消滅…格安「DIY修理」革命で起こること
プレジデントオンライン / 2024年6月27日 10時15分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください