誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
サイバー攻撃対策には、ファイヤーウォールやアンチウイルスソフトの導入、認証強化などさまざまな方法がある。こうした対策を施していても、正規に入手したソフトウェア製品や、普段利用するクラウドサービスそのものに脆弱性が含まれており、それが攻撃者に利用されてインシデントとなることもある。製品やサービスそのものに潜むサイバーリスクの現状とその対処法について、JPCERTコーディネーションセンターの脅威アナリストの佐々木勇人氏と脆弱性アナリストの福本郁哉氏に話を聞いた。
脆弱性がまったくない製品やサービスは存在しない
――利用しているソフトウェア製品やサービスそのものに潜んでいるサイバーリスクには、どのようなものがあるのでしょうか。
【図表で見る】開発プロセスの早い段階からセキュリティ対策をする「シフトレフト」が注目されている
佐々木:まずはソフトウェア自体、あるいは製品のアップデートなどを配布する経路が汚染されるケースがあります。例えば、ソフトウェアにバックドア(システム内部に不正侵入するための入り口)や侵入につながる脆弱性が含まれたまま配布されるのです。これには悪意のある攻撃者が意図的に組み込むものと、メーカー側の何らかの不備で脆弱性が含まれ悪用されるものがあります。
もう1つは、ベンダーによる遠隔からの保守などが狙われるケースです。このようなサービス提供者をマネージドサービスプロバイダー(MSP)と呼びますが、このMSPが攻撃されて利用する端末が汚染され、これを足がかりにユーザー環境に侵入されます。
一般的に「サービスプロバイダーのアクセスは安全だ」という認識があるので、とくに対策がされていないことも多く、簡単に侵入されてしまうのです。製品アップデートの流通経路やMSPのアクセスのように、もともと信頼しているものが利用されると、対策は難しいものがあります。
――製品に含まれる脆弱性とはどのようなものですか。
福本:ソフトウェアの欠陥や不具合である「バグ」の中で、セキュリティに関係するものを「脆弱性」といいます。バグは製品をリリースする前に潰すのですが、どうしても何かしらが残ってしまいます。つまりバグが起きない製品がないように、脆弱性のない製品も存在しないのです。現状のソフトウェアは部品を組み合わせて作るので、いずれかの部品に脆弱性が含まれているケースもあれば、設計やコーディングの不備から生まれる脆弱性もあります。
この記事に関連するニュース
-
Apache HTTP Server 2.4に脆弱性、前回の不十分な対策を修正
マイナビニュース / 2024年7月22日 7時31分
-
IoT機器におけるOSSと脆弱性の管理を代行する新サービス「SBOM脆弱性定期レポートサービス」7月18日に提供開始
@Press / 2024年7月19日 12時0分
-
リコーのプリンタおよび複合機に脆弱性、アップデートを
マイナビニュース / 2024年7月12日 7時35分
-
ユビキタスAI、SBOM作成サービスの提供を開始
PR TIMES / 2024年7月10日 12時45分
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
ランキング
-
1イタリア人が営む「老舗ラーメン店」の人生ドラマ 西武柳沢「一八亭」ジャンニさんと愛妻のこれまで
東洋経済オンライン / 2024年7月22日 11時30分
-
2なぜユニクロは「着なくなった服」を集めるのか…「服屋として何ができるのか」柳井正氏がたどり着いた答え
プレジデントオンライン / 2024年7月22日 9時15分
-
3円安は終わり?円高反転4つの理由。どうなる日経平均?
トウシル / 2024年7月22日 8時0分
-
4ウィンドウズ障害、影響続き世界全体で2600便欠航…損害は1600億円を超えるとの見方も
読売新聞 / 2024年7月22日 11時16分
-
5「土用の丑の日」物価高でも…あの手この手の“うなぎ商戦” 大手スーパーの目玉は「超特大」
TBS NEWS DIG Powered by JNN / 2024年7月22日 19時59分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください