ゼロデイ攻撃、餌食は「アップデート」甘く見る人 ソフトウェアの脆弱性突くサイバー攻撃の1つ
東洋経済オンライン / 2024年6月5日 8時0分
Webカメラやオフィスのルーター、VPN装置は設置されると壊れるまで稼働させるのが普通で、脆弱性が発見されたとしてもセキュリティアップデートができず(おそらく手動で行う必要がある)、ゼロデイ攻撃の標的となりやすい。ネット家電も同様のリスクを抱えているので、今後もゼロデイ攻撃の増加傾向は続く可能性が高い。
クラウド化やDXも、ゼロデイ攻撃の増加に関係している。現在のソフトウェア開発では、すべての機能を一からプログラムすることはせず、ソフトウェア部品を購入して組み合わせる、あるいはクラウド上の機能と連携させて1つのシステムやアプリケーションを構築する。
この中の1つに脆弱性が存在すると、無数のソフトウェア製品やウェブサイトに脆弱性が遍在することになり、すべてにセキュリティパッチを当てることは困難だ。
基本の対策はセキュリティアップデート
先ほど、ゼロデイ攻撃は脆弱性情報が公開されると増えるという話をした。ならば情報を公開しなければ安全なのではないか、という疑問が湧く。情報の秘匿による安全性の確保は確かに有効だが、ソフトウェアの脆弱性、サイバー攻撃においては必ずしも適用できない。
ハッキングやサイバー攻撃が始まったとされる1970年代からの業界の知見によって、脆弱性を秘匿しても攻撃者や犯罪者に知れ渡るのは時間の問題であることがわかっている。秘匿するより公開してパッチを当てたほうが全体として安全性が保たれるのだ。
したがって、開発メーカーに求められるのは、透明性と脆弱性情報の正しい共有体制となる。メーカーの開発者やユーザーが発見した脆弱性は、国際的に一元管理される仕組みが整備されているので、企業や組織ごとに勝手な判断をしない、通報や指摘があっても秘匿すれば安全だろうという考え方は捨てることだ。
企業や一般ユーザーが取れる対策は、1にも2にもセキュリティアップデートを確実に行うこと。
自動アップデート設定は有効にしておく。その機能がない場合は、メーカーや開発元、IPAやJPCERT/CCなどが公表する脆弱性情報にも注意を払い、確実に実施するようにしたい。修正プログラムの開発が困難な場合は、緩和策、防御策だけが公開されることもある。この場合も可能な限り対策を実施することが重要だ。
アップデートを行うと業務システムに影響が出るという場合も、緩和策の実施や代替の防御策を検討して実施する必要がある。システム上やむを得ないこともあるが、現在はセキュリティアップデートで支障が出るようなシステム設計にはすべきではない。
この記事に関連するニュース
-
VicOne、ASRGと共同で自動車脆弱性データベース「AutoVulnDB」を立ち上げ
PR TIMES / 2024年6月19日 18時45分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
VicOne独自のゼロデイ脆弱性検知と文脈化された攻撃経路のソリューションがAWS Marketplaceで利用可能に
PR TIMES / 2024年6月19日 10時15分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
ランキング
-
120年ぶりの新紙幣に期待と困惑 “完全キャッシュレス”に移行の店舗も
日テレNEWS NNN / 2024年7月2日 22時4分
-
2小田急線「都会にある秘境駅」が利用者数の最下位から脱出!超巨大ターミナルから「わずか700m」
乗りものニュース / 2024年7月1日 14時42分
-
3メルカリの「単発バイトアプリ」利用者伸ばす世相 「何が利点なのか」利用者と店舗の声を聞いた
東洋経済オンライン / 2024年7月3日 13時30分
-
4「7月3日の新紙幣発行」で消費活動に一部支障も? 新紙幣関連の詐欺・トラブルにも要注意
東洋経済オンライン / 2024年7月2日 8時30分
-
5「eラーニングの効果がない理由」を人事は“勘違い”している──社員のホンネ
ITmedia ビジネスオンライン / 2024年7月3日 6時40分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)