セキュリティホールという言葉を聞いたことはありますか?近年はIT業界における進歩が進む反面、セキュリティ面のチェックも重要な課題です。しかし、具体的なセキュリティホールについて詳しく知っている人は少ないのではないでしょうか。
今回は上記の悩みを解決するために、セキュリティホールの概要や具体的な攻撃手段、対策についてまとめました。本記事を参考にして、セキュリティホールの概念を理解しましょう。
セキュリティホールとは
セキュリティホールとは、コンピュータシステムを構築する際に、設計や設定などのミスから生じるセキュリティ部分の欠陥のことです。ぜい弱性と同じ意味と考えがちですが、広義狭義は、セキュリティホールのミスが人為的な欠陥であるのに対し、ぜい弱性は、設計上の間違いがなく場合でも、生じてしまう弱点のことを意味します。セキュリティホールでの弱点をついた攻撃は、「エクスプロイト」と呼ばれるケースもあります。
セキュリティホールを狙う攻撃手法
セキュリティホールを狙う攻撃手法として、
- バッファー・オーバーフロー
- SQLインジェクション
- クロスサイト・スクリプティング
- 強制ブラウジング
- ゼロデイ攻撃
があります。
バッファー・オーバーフロー
バッファー・オーバーフローは、バッファという名称の記憶領域の場所に、上限より過大なデータ量を送り込むことで、コンピュータによる誤動作、破壊などを促進する攻撃方法です。攻撃が成功すると、管理者権限を奪われてしまう、思いのままに操作されるなど、情報流出につながってしまいます。
SQLインジェクション
SQLインジェクションは、データベース処理をしている「SQL」というコマンドを、意図して作成し、送信することによって、データベースを改ざん、取得、破壊する方法です。
Webアプリケーションについては、ユーザーの各種情報入力を受けるとサーバー側で処理を進め、結果についてユーザーに返す処理が頻繁に行われています。サーバー処理では、サーバーやデータベースなどにアクセス後に、情報参照や更新を行う場合が多いです。
クロスサイト・スクリプティング
クロスサイト・スクリプティングは、他サイトにおいて、仕掛けられた罠にはまった人のコンピュータ情報を盗み出し、サイトへのアクセスができるように、改ざんする手法です。
例えば、掲示板サイトを例に挙げると、掲示板の入力欄以外にクリックできるリンクが設置されていた場合をイメージしてみましょう。リンクが気になったユーザーがURLやバナーをクリックし、悪意のあるサイトに誘導されます。その後、ユーザーのブラウザ上で不正なスクリプトが起動し、Cookieが攻撃者へ漏洩することで、マルウェア感染やなりすましなどが発生する仕組みです。
強制ブラウジング
強制ブラウジングは、指定のURLへアクセスすると、情報が漏えいしてしまう攻撃を指します。Webページへアクセスを試みる時に、公開ページからリンクをクリックするのではなく、直接URLからアクセスする手法で、Webサイトの運営者で公開していない、ディレクトリやファイルへアクセスを行う方法です。
ゼロデイ攻撃
ゼロデイ攻撃は、ぜい弱性を修正するために、セキュリティ更新プログラムが提供される前までの間に、ぜい弱性を悪用する攻撃方法です。バッファー・オーバーフローは攻撃の方法を指した言葉ですが、攻撃までの時間を意味した用語です。
セキュリティホール対策を紹介
具体的なセキュリティホール対策として、OSバージョンアップを常に行うことが、有効な対処法です。例えば、Windows利用時は「Windows Update」を有効にして、Microsoft社からのセキュリティパッチの提供に対して、できる限り早く適用するのが効果的です。
まとめ
今回は、セキュリティホールの概要や具体的な攻撃手段、Windowsで取り組める対策について解説しました。IT業界が拡大していく中で、IT業界へ就職を検討している人も多いのではないでしょうか。本記事を参考にして、万全なセキュリティ対策を自身で行うとともに、仕事にも役立てられると嬉しく思います。