誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
サイバー攻撃対策には、ファイヤーウォールやアンチウイルスソフトの導入、認証強化などさまざまな方法がある。こうした対策を施していても、正規に入手したソフトウェア製品や、普段利用するクラウドサービスそのものに脆弱性が含まれており、それが攻撃者に利用されてインシデントとなることもある。製品やサービスそのものに潜むサイバーリスクの現状とその対処法について、JPCERTコーディネーションセンターの脅威アナリストの佐々木勇人氏と脆弱性アナリストの福本郁哉氏に話を聞いた。
脆弱性がまったくない製品やサービスは存在しない
――利用しているソフトウェア製品やサービスそのものに潜んでいるサイバーリスクには、どのようなものがあるのでしょうか。
【図表で見る】開発プロセスの早い段階からセキュリティ対策をする「シフトレフト」が注目されている
佐々木:まずはソフトウェア自体、あるいは製品のアップデートなどを配布する経路が汚染されるケースがあります。例えば、ソフトウェアにバックドア(システム内部に不正侵入するための入り口)や侵入につながる脆弱性が含まれたまま配布されるのです。これには悪意のある攻撃者が意図的に組み込むものと、メーカー側の何らかの不備で脆弱性が含まれ悪用されるものがあります。
もう1つは、ベンダーによる遠隔からの保守などが狙われるケースです。このようなサービス提供者をマネージドサービスプロバイダー(MSP)と呼びますが、このMSPが攻撃されて利用する端末が汚染され、これを足がかりにユーザー環境に侵入されます。
一般的に「サービスプロバイダーのアクセスは安全だ」という認識があるので、とくに対策がされていないことも多く、簡単に侵入されてしまうのです。製品アップデートの流通経路やMSPのアクセスのように、もともと信頼しているものが利用されると、対策は難しいものがあります。
――製品に含まれる脆弱性とはどのようなものですか。
福本:ソフトウェアの欠陥や不具合である「バグ」の中で、セキュリティに関係するものを「脆弱性」といいます。バグは製品をリリースする前に潰すのですが、どうしても何かしらが残ってしまいます。つまりバグが起きない製品がないように、脆弱性のない製品も存在しないのです。現状のソフトウェアは部品を組み合わせて作るので、いずれかの部品に脆弱性が含まれているケースもあれば、設計やコーディングの不備から生まれる脆弱性もあります。
この記事に関連するニュース
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性
マイナビニュース / 2024年6月20日 16時28分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
ランキング
-
1「ポテポテハッシュポテハッシュ」の癖になるリズム マクドナルド公式X、朝マックのアピール動画話題に
J-CASTニュース / 2024年6月25日 19時48分
-
2「鹿児島県産」を「兵庫県産神戸牛」表示で販売…卸売業者に是正指示 「ホルスタイン種」を「和牛」にも 誤った個体識別番号表示で農水省近畿農政局も勧告
MBSニュース / 2024年6月25日 19時20分
-
3新NISAで人気の「NTT株」が5月から急落した深層 個人株主は急増も、海外投資家と思惑のズレ?
東洋経済オンライン / 2024年6月26日 8時10分
-
4青森のサクランボ農園で実が割れる被害、佐藤錦は1〜3割が裂果…9園が一般客の受け入れ断念
読売新聞 / 2024年6月25日 23時0分
-
5テスラ、新型EVリコール 1万台超、不具合相次ぐ
共同通信 / 2024年6月26日 7時12分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)