-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
脆弱性(ぜいじゃくせい)とは、ソフトウェア製品やネットワーク機器、アプリケーション等において、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥や弱点のことです。脆弱性が存在すると、悪用されて攻撃者による不正アクセスが可能になったり、マルウェアに感染させられたりする恐れがあります。「セキュリティホール」と呼ばれることもありますが、セキュリティホールとは正確には脆弱性の一部であり、本来できないはずの操作ができてしまったり、見えるべきでない情報が第三者に見えてしまうといった不具合を指します。
脆弱性に対しては、パッチ(ソフトウェア内の問題を解決するために開発される追加コード)を適用する、構成設定を変更する、脆弱性の影響を受けている製品を削除する、といった方法で対処します。これらを行わずに脆弱性を放置していると、組織ネットワークへの侵入を目論む攻撃者に当該脆弱性を悪用されるリスクが高まることになります。
脆弱性という用語はソフトウェアやWebアプリケーション、サーバー等に関して使われることが多いものの、人や業務プロセス、組織の体制などの弱点に対しても使われることがあります。例えば従業員のセキュリティ意識の低さは、「人の脆弱性」と表現することが可能です。
日本には、IPA(独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が共同で運営する「JVN(Japan Vulnerability Notes)」という脆弱性対策情報ポータルサイトがあります。JVNには、国内で使用されるソフトウェア等の脆弱性関連情報や、海外の機関と連携した脆弱性情報が掲載されており、各脆弱性には一意の脆弱性識別番号が割り振られています。
一方で、世界的に利用されているのがCVE(Common Vulnerabilities and Exposures/共通脆弱性識別子)という脆弱性のリストです。これは米国政府の支援を受けた非営利団体「MITRE」が運営しているもので、各脆弱性には「CVE識別番号(CVE-ID)」という一意の識別番号が付与されています。ソフトウェアやサーバー、アプリケーション等に脆弱性がないかを調べる脆弱性診断のツールの多くでは、CVEを参考に既知の脆弱性の特定が行われます。
とは?.jpg)
