オフィスの電話回線のご相談はお気軽にお問い合わせください。
防犯カメラ導入のご相談はお気軽にお問い合わせください。
テレワーク導入のご相談はお気軽にお問い合わせください
ホームページ制作のご相談はお気軽にお問い合わせください。
企業向けパソコン導入のご相談はお気軽にお問い合わせください。
ウォーターサーバー導入のご相談はお気軽にお問い合わせください。
全メーカー対応!新品・中古ビジネスフォンを激安で販売
新品・中古複合機が業界最安値!リースや保守も安心価格
社用携帯の新規契約・乗り換え・機種変更が圧倒的な安さ
もうビジネスフォン不要!社員のスマホで電話業務が完結
サイバー攻撃を遮断!企業を守るセキュリティ商品を完備
ビジネスフォンの各種工事を格安&スピーディに一括対応
オフィスのネットワーク環境構築から配線工事までお任せ
有資格のプロが対応!オフィスの電気工事をフルサポート
オフィス・事務所移転を低コスト&スピーディに徹底支援
IT専門家による経営革新&業務改善コンサルで課題を解決
SEO集客で成功へ導く!丸投げOK&本格運用の”FUKUJIN”
高寿命・省エネのLED蛍光灯でオフィスの電気代を削減
店舗やオフィスの集客力UPに効果的な電光掲示板を販売
セキュリティパッチの適用やバージョンアップデートをせずにパソコンを使い続けていませんか? そのままではセキュリティホールを狙ったサイバー攻撃にあう可能性が高くなるため危険です。
そこで本記事では、以下のポイントをわかりやすく解説します。
対策を怠ったことによる情報漏洩や不正アクセスが増えています。 この記事を読めば5分程度で個人および企業としてできる対策方法がわかりますので、ぜひ参考にしてください。
この記事の目次
総務省では、セキュリティホールについて以下のように説明しています。
セキュリティホールとは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。 (参考:総務省「国民のための情報セキュリティサイト」)
セキュリティホールと混同しやすい言葉に「脆弱性」があります。
脆弱性は、システムやネットワークを取り巻く環境も含め、広義の意味で使われます。 例えば、「オフィスワーカーのセキュリティ意識が低いために、パソコンがウイルスに感染してしまった」「パソコンが壊れたけれどデータのバックアップを取っていなかった」などは、脆弱性に該当します。
セキュリティホールの意味や脆弱性との違いについて詳しく知りたい方は「セキュリティホールと5つの対策」をご覧ください。
ここからはセキュリティホールを狙った6つの代表的な攻撃例をご紹介します。 攻撃内容や目的を確認して、セキュリティ対策につなげましょう。
「バッファオーバーフロー」は、OSやアプリケーションソフトのプラグラムに利用されている「バッファ」と呼ばれるメモリに、処理しきれない量のデータを送る攻撃です。
処理能力の限界に達して不安定になったり、システムが停止したりする状態も指します。
コンピューターがバッファオーバーフローで不安定動作を起こすと、悪意のある第三者は乗っ取りを狙います。 コンピューターが乗っ取られると、データが盗まれて情報漏洩したり、乗っ取られたコンピューターを踏み台にして別のコンピューターが攻撃されるリスクがあります。
主な被害事例
ソフトウェアのセキュリティホールを狙ったバッファオーバーフローは、マイクロソフト社やMeta(旧Facebook)など、世界的な企業にも被害をもたらしました。 例えばMetaの運営するFacebookは2015年1月にバッファオーバーフロー攻撃を受け、30分以上サービスが停止しました。 また日本でも、2000年1月に中央官庁のWebサーバーがバッファオーバーフロー攻撃を受けて、関連サイトが改ざんされた事例があります。
「SQLインジェクション」は、Webサイトやアプリケーションの入力フォームに不当なSQL文を注入する攻撃です。 SQLとは「Structured Query Language」の略で、データベースサーバーを操作する命令文を意味します。
SQLは予想外の情報が入力されるとエラー処理が実行されます。 しかしWebアプリケーションにセキュリティホールが存在すると、不正なSQL文をそのまま命令文として認識してしまい、第三者がデータベースに侵入できる場合があります。
データベースに侵入されると、情報漏洩やデータ改ざん・破壊などの大きな被害につながるため、危険です。
2022年1月に日能研は、WebサーバーがSQLインジェクションによる攻撃で不正アクセスを受け、約28万件のメールアドレスが流出した可能性があると発表しました。
また2022年2月には、ゲーマー向け家具などを販売するECサイト「be-site」がSQLインジェクション攻撃を受け、顧客や取引先のメールアドレス2万件以上が漏洩した可能性があると発表しています。 同日に決済サービスを提供するメタップスペイメントも、SQLインジェクションを含むさまざまな攻撃を受け、46万件以上のクレジットカード番号・有効期限・セキュリティコードが流出したと発表し、警察に被害届も出しています。
「クロスサイト・スクリプティング」は、Webサイトのセキュリティホールを悪用して罠を仕掛け、ユーザーを悪質なサイトへ誘導する攻撃です。 クロスサイト・スクリプティングはスクリプトを利用した攻撃で、汎用性の高い「JavaScript」は特に注意が必要だと言われています。
クロスサイト・スクリプティング攻撃を受けると、Webページの内容が改ざんされたり、偽サイトに誘導するフィッシング詐欺にあったりする被害につながります。 また、スクリプトを実行したパソコンがマルウェア感染したり、別のURLに書き換えられた入力フォームで個人情報が盗まれる被害も報告されています。
2010年7月に動画共有サイトのYouTube、同年9月に人気SNSのTwitterがクロスサイト・スクリプティングの攻撃にあいました。 YouTubeでは「ニュース速報:ジャスティン・ビーバーが交通事故で死亡」のデマニュースや、下品な内容のポップアップが表示され、早急なセキュリティホールの修正を必要としました。
また2020年9月には、カジュアルウェアのブランド「ユニクロ」のAndroidアプリにクロスサイト・スクリプティングの脆弱性があることが公表されました。
「DNSキャッシュポイズニング」は、DNS(Domain Name System)サーバーのキャッシュを汚染して、偽サイトや悪意のあるサイトに誘導する攻撃です。
キャッシュ
データを一時的に保存する機能で、Webサイトのあるサーバーまで毎回接続することなく、素早くブラウザに表示できます。
キャッシュが汚染されると偽のサーバーにつながり、攻撃者が用意したコンテンツへ誘導されるため注意が必要です。
DNSキャッシュポイズニングで偽サイトや悪意のあるサイトに誘導されると、ユーザーが入力した個人情報が盗まれたり、マルウェア感染でパソコンが使えなくなる被害が生じます。
クレジットカードの悪用で金銭的な被害が生じるケースも考えられます。
2014年1月に、中国でDSNキャッシュポイズニング攻撃により、広範囲にわたるDNSサービスが停止しました。 これにより中国では、Webサイトの閲覧やSNS・インスタントメッセージの利用もできなくなり、大混乱に陥りました。 同年の4月には、日本レジストリサービス(JPRS)によりDNSサーバを狙った攻撃が増えていることへの注意喚起が行われています。
「強制ブラウジング」とは、アドレスバーに直接URLを入力して、Webサイト側で公開するつもりのないページやファイルなどへのアクセスを試みる攻撃です。
強制ブラウジングには、Webサーバーのディレクトリ・インデックス機能で一覧表示したファイルを狙う「ディレクトリ・リスティング」や、URLをもとに推測したりHTML中に放置されたコメントを手掛かりにしたりする方法があります。
攻撃者によって強制ブラウジングが行われると、非公開の機密情報や個人情報が盗まれる恐れがあります。 また、管理者のみ使用可能な管理メニューを操作され、不正アクセスなど2次的な被害にもつながるため注意が必要です 。
「ゼロデイ攻撃」は、ソフトウェアのセキュリティホールが発見され、メーカーが修正プログラムを配布するまでの間に実行される攻撃です。 修正プログラムの公開日をワンデイ(1Day)、それ以前をゼロデイ(0Day)とすることから名付けられました。
ゼロデイ攻撃は新たに見つかったセキュリティホールと関連があり、対策方法のないタイミングで攻撃されるため、大きな被害につながる危険があります。
2014年の「シェルショック」は、ゼロデイ攻撃の中でも有名な事例です。 Linuxなどのシェルとして使用されることの多い「Bash」にセキュリティホールが立て続けに見つかり、遠隔操作も可能なので警視庁も監視するほどの騒ぎになりました。
また、2015年にAdobe Flash Player、2019年にはGoogle Chrome、2020年にはマイクロソフト社のInternet Explorerがゼロデイ攻撃を受けたことを公表しています。
OSやソフトウェアは人によってプログラムされるため、不具合や欠陥を100%防ぐことはできません。 公開後にセキュリティホールが発見されるケースもあり、ユーザーとしても対策を講じることが大切です。
ここでは、個人としてできるセキュリティホール対策方法を3つご紹介します。
セキュリティホール対策に有効な方法は、最新のセキュリティパッチのインストールです。
セキュリティパッチとは、OSやソフトウェアメーカーが脆弱性の問題点を解決するために発行する修正プログラム。 例えばWindowsでは「セキュリティ更新プログラム」が定期的に公開され、ユーザー自身でインストールできるようになっています。
セキュリティホールの発見とそれによる危険性がある場合、警視庁やIPA(情報処理推進機構)により注意喚起が行われます。 ただし、情報を漏らさずキャッチして、ユーザー自身にとって必要な情報かそうでないかを見極めるのは簡単ではありません。
使用しているOSやソフトウェアのセキュリティパッチを常に最新の状態にすれば、セキュリティホールへの対応を自動的にできて安心です。
セキュリティホール対策として、ウイルス対策ソフトの導入も効果的です。
ウイルス対策ソフトには、無料でも高いウイルス検出率を誇るソフトがあり、セキュリティの向上やウイルス感染による被害を最小に抑える効果が期待できます。 また、さまざまな重要情報を扱う企業の場合は、豊富なセキュリティ機能を備えたセキュリティ対策ソフトを導入する必要があるでしょう。
ウイルス対策ソフトにも更新プログラムやウイルス定義プログラムが配布されるため、常に最新の状態にしておくことを忘れてはなりません。
セキュリティホールへの対策として有効な方法に、データを暗号化することも挙げられます。
データを暗号化していると、悪意ある第三者がコンピューターやネットワークに侵入した際に、情報漏洩のリスクを減らせます。 また、重要なデータを保存しているパソコンやUSBの紛失や、メール誤送信の場合にも、第三者がデータを閲覧できないよう暗号化していると安心です。
データ暗号化の方法には、市販の暗号化ツールを導入することや、Windowsに搭載されている「BitLocker」を使うことなどがあります。
データ暗号化についてさらに詳しく知りたい方は、「たった5分で分かる暗号化技術!図解で見る仕組み・種類・メリット」をご覧ください。
機密情報・個人情報の漏洩やWebサイトの改ざんなどは、企業のブランドイメージを低下させ、業績や存続そのものに影響を与える可能性もあります。 またシステムダウンを誘発して身代金を要求するランサムウェアも増加傾向にあり、注意が必要です。
サイバー攻撃は日々進化しているため、定期的な脆弱性診断を行いセキュリティ対策を見直すことは、規模を問わずすべての企業にとって重要なポイントです。
定期的なセキュリティ診断の必要性やメリットについては、「定期的なセキュリティ診断って必要?メリットや方法を徹底解説」をご覧ください。
脆弱性診断サービスにはさまざまなものがありますが、どれがよいかわからない場合は「OFFICE110」の「セキュリティ調査」をおすすめします。 無料で現地調査を行い、御社の現状を把握したうえで無駄のないセキュリティ対策をご提案いたします。
サーバー・アプリ・ネットワークなどは人が設計したもので、不具合や欠陥によるセキュリティホールの発生は避けられないのが現状です。 セキュリティホールを狙ったサイバー攻撃にはさまざまな種類があり、被害を最小限に抑えるためには本記事でご紹介した以下の対策が必要不可欠です。
企業の場合は、運用者やユーザーのセキュリティ意識が低いことも多く、セキュリティに関する社内ルールが守られていないケースが見られます。 そこで、セキュリティホールへの対策だけでなく、人為的ミスなどを含む脆弱性を定期的に診断しましょう。
セキュリティ診断のお申し込みやセキュリティ強化に関するご相談は、OFFICE110にお任せください!
お役立ち情報カテゴリ
