セキュリティホールへの攻撃とは？攻撃例と対策を簡単に解説【お役立ち情報】

「サイバー攻撃の種類と被害」記事一覧

セキュリティホールへの攻撃とは？攻撃例と対策を簡単に解説

セキュリティパッチの適用やバージョンアップデートをせずにパソコンを使い続けていませんか？
そのままではセキュリティホールを狙ったサイバー攻撃にあう可能性が高くなるため危険です。

そこで本記事では、以下のポイントをわかりやすく解説します。

セキュリティホールの概要
セキュリティホールを狙った攻撃例
セキュリティホールへの対策方法

対策を怠ったことによる情報漏洩や不正アクセスが増えています。
この記事を読めば5分程度で個人および企業としてできる対策方法がわかりますので、ぜひ参考にしてください。

この記事の目次

1.【基本情報】セキュリティホールとは？
2.セキュリティホールを狙った代表的な攻撃例
3.個人でできるセキュリティホール対策方法
4.企業の場合は定期的な脆弱性の診断を！
5.まとめ

【基本情報】セキュリティホールとは？

セキュリティホールとは？

: セキュリティホールとは、その名のとおりセキュリティに空いた穴を指します。ソフトウェアなどの設計時に起こる不具合で、放置すると第三者からの攻撃を受けやすくなるため、対策が必要です。

総務省では、セキュリティホールについて以下のように説明しています。

セキュリティホールとは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。
（参考：総務省「国民のための情報セキュリティサイト」）

セキュリティホールと混同しやすい言葉に「脆弱性」があります。

セキュリティホール　→　ソフトウェアの不具合
脆弱性　→　外部からの弱点

脆弱性は、システムやネットワークを取り巻く環境も含め、広義の意味で使われます。
例えば、「オフィスワーカーのセキュリティ意識が低いために、パソコンがウイルスに感染してしまった」「パソコンが壊れたけれどデータのバックアップを取っていなかった」などは、脆弱性に該当します。

セキュリティホールの意味や脆弱性との違いについて詳しく知りたい方は「セキュリティホールと5つの対策」をご覧ください。

セキュリティホールを狙った代表的な攻撃例

: セキュリティホールを狙った攻撃にはどのようなものがありますか？

: 代表的な攻撃として「バッファオーバーフロー」「SQLインジェクション」「クロスサイト・スクリプティング」「DNSキャッシュポイズニング」「強制ブラウジング」などがあります。また、セキュリティホールの発見直後を狙った「ゼロデイ攻撃」も、対策が難しいサイバー攻撃です。

ここからはセキュリティホールを狙った6つの代表的な攻撃例をご紹介します。
攻撃内容や目的を確認して、セキュリティ対策につなげましょう。

バッファオーバーフロー

「バッファオーバーフロー」は、OSやアプリケーションソフトのプラグラムに利用されている「バッファ」と呼ばれるメモリに、処理しきれない量のデータを送る攻撃です。

処理能力の限界に達して不安定になったり、システムが停止したりする状態も指します。

コンピューターがバッファオーバーフローで不安定動作を起こすと、悪意のある第三者は乗っ取りを狙います。
コンピューターが乗っ取られると、データが盗まれて情報漏洩したり、乗っ取られたコンピューターを踏み台にして別のコンピューターが攻撃されるリスクがあります。

主な被害事例

ソフトウェアのセキュリティホールを狙ったバッファオーバーフローは、マイクロソフト社やMeta（旧Facebook）など、世界的な企業にも被害をもたらしました。
例えばMetaの運営するFacebookは2015年1月にバッファオーバーフロー攻撃を受け、30分以上サービスが停止しました。
また日本でも、2000年1月に中央官庁のWebサーバーがバッファオーバーフロー攻撃を受けて、関連サイトが改ざんされた事例があります。

SQLインジェクション

「SQLインジェクション」は、Webサイトやアプリケーションの入力フォームに不当なSQL文を注入する攻撃です。
SQLとは「Structured Query Language」の略で、データベースサーバーを操作する命令文を意味します。

SQLは予想外の情報が入力されるとエラー処理が実行されます。
しかしWebアプリケーションにセキュリティホールが存在すると、不正なSQL文をそのまま命令文として認識してしまい、第三者がデータベースに侵入できる場合があります。

データベースに侵入されると、情報漏洩やデータ改ざん・破壊などの大きな被害につながるため、危険です。

主な被害事例

2022年1月に日能研は、WebサーバーがSQLインジェクションによる攻撃で不正アクセスを受け、約28万件のメールアドレスが流出した可能性があると発表しました。

また2022年2月には、ゲーマー向け家具などを販売するECサイト「be-site」がSQLインジェクション攻撃を受け、顧客や取引先のメールアドレス2万件以上が漏洩した可能性があると発表しています。
同日に決済サービスを提供するメタップスペイメントも、SQLインジェクションを含むさまざまな攻撃を受け、46万件以上のクレジットカード番号・有効期限・セキュリティコードが流出したと発表し、警察に被害届も出しています。

クロスサイト・スクリプティング

「クロスサイト・スクリプティング」は、Webサイトのセキュリティホールを悪用して罠を仕掛け、ユーザーを悪質なサイトへ誘導する攻撃です。
クロスサイト・スクリプティングはスクリプトを利用した攻撃で、汎用性の高い「JavaScript」は特に注意が必要だと言われています。

クロスサイト・スクリプティング攻撃を受けると、Webページの内容が改ざんされたり、偽サイトに誘導するフィッシング詐欺にあったりする被害につながります。
また、スクリプトを実行したパソコンがマルウェア感染したり、別のURLに書き換えられた入力フォームで個人情報が盗まれる被害も報告されています。

主な被害事例

2010年7月に動画共有サイトのYouTube、同年9月に人気SNSのTwitterがクロスサイト・スクリプティングの攻撃にあいました。
YouTubeでは「ニュース速報：ジャスティン・ビーバーが交通事故で死亡」のデマニュースや、下品な内容のポップアップが表示され、早急なセキュリティホールの修正を必要としました。

また2020年9月には、カジュアルウェアのブランド「ユニクロ」のAndroidアプリにクロスサイト・スクリプティングの脆弱性があることが公表されました。

DNSキャッシュポイズニング

「DNSキャッシュポイズニング」は、DNS（Domain Name System）サーバーのキャッシュを汚染して、偽サイトや悪意のあるサイトに誘導する攻撃です。

キャッシュ

データを一時的に保存する機能で、Webサイトのあるサーバーまで毎回接続することなく、素早くブラウザに表示できます。

キャッシュが汚染されると偽のサーバーにつながり、攻撃者が用意したコンテンツへ誘導されるため注意が必要です。

DNSキャッシュポイズニングで偽サイトや悪意のあるサイトに誘導されると、ユーザーが入力した個人情報が盗まれたり、マルウェア感染でパソコンが使えなくなる被害が生じます。

クレジットカードの悪用で金銭的な被害が生じるケースも考えられます。

主な被害事例

2014年1月に、中国でDSNキャッシュポイズニング攻撃により、広範囲にわたるDNSサービスが停止しました。
これにより中国では、Webサイトの閲覧やSNS・インスタントメッセージの利用もできなくなり、大混乱に陥りました。
同年の4月には、日本レジストリサービス（JPRS）によりDNSサーバを狙った攻撃が増えていることへの注意喚起が行われています。

強制ブラウジング

「強制ブラウジング」とは、アドレスバーに直接URLを入力して、Webサイト側で公開するつもりのないページやファイルなどへのアクセスを試みる攻撃です。

強制ブラウジングには、Webサーバーのディレクトリ・インデックス機能で一覧表示したファイルを狙う「ディレクトリ・リスティング」や、URLをもとに推測したりHTML中に放置されたコメントを手掛かりにしたりする方法があります。

攻撃者によって強制ブラウジングが行われると、非公開の機密情報や個人情報が盗まれる恐れがあります。
また、管理者のみ使用可能な管理メニューを操作され、不正アクセスなど2次的な被害にもつながるため注意が必要です。

ゼロデイ攻撃

「ゼロデイ攻撃」は、ソフトウェアのセキュリティホールが発見され、メーカーが修正プログラムを配布するまでの間に実行される攻撃です。
修正プログラムの公開日をワンデイ（１Day）、それ以前をゼロデイ（０Day）とすることから名付けられました。

ゼロデイ攻撃は新たに見つかったセキュリティホールと関連があり、対策方法のないタイミングで攻撃されるため、大きな被害につながる危険があります。

主な被害事例

2014年の「シェルショック」は、ゼロデイ攻撃の中でも有名な事例です。
Linuxなどのシェルとして使用されることの多い「Bash」にセキュリティホールが立て続けに見つかり、遠隔操作も可能なので警視庁も監視するほどの騒ぎになりました。

また、2015年にAdobe Flash Player、2019年にはGoogle Chrome、2020年にはマイクロソフト社のInternet Explorerがゼロデイ攻撃を受けたことを公表しています。

個人でできるセキュリティホール対策方法

: セキュリティホールでできる対策はありますか？

: 個人でできる対策として、最新のセキュリティパッチをインストール、ウイルス対策ソフトの導入、データの暗号化が挙げられます。

OSやソフトウェアは人によってプログラムされるため、不具合や欠陥を100％防ぐことはできません。
公開後にセキュリティホールが発見されるケースもあり、ユーザーとしても対策を講じることが大切です。

ここでは、個人としてできるセキュリティホール対策方法を3つご紹介します。

ウイルス対策ソフトを導入する

セキュリティホール対策として、ウイルス対策ソフトの導入も効果的です。

ウイルス対策ソフトには、無料でも高いウイルス検出率を誇るソフトがあり、セキュリティの向上やウイルス感染による被害を最小に抑える効果が期待できます。
また、さまざまな重要情報を扱う企業の場合は、豊富なセキュリティ機能を備えたセキュリティ対策ソフトを導入する必要があるでしょう。

ウイルス対策ソフトにも更新プログラムやウイルス定義プログラムが配布されるため、常に最新の状態にしておくことを忘れてはなりません。

: ウイルス対策ソフトには無料・有料を含め、機能やサポートの異なるさまざまなソフトがあります。どのウイルス対策ソフトを選べばよいかわからない場合は、「【最新】ウイルス対策ソフトおすすめ10選！選ぶポイントも解説」をご覧ください。

データを暗号化する

セキュリティホールへの対策として有効な方法に、データを暗号化することも挙げられます。

データを暗号化していると、悪意ある第三者がコンピューターやネットワークに侵入した際に、情報漏洩のリスクを減らせます。
また、重要なデータを保存しているパソコンやUSBの紛失や、メール誤送信の場合にも、第三者がデータを閲覧できないよう暗号化していると安心です。

データ暗号化の方法には、市販の暗号化ツールを導入することや、Windowsに搭載されている「BitLocker」を使うことなどがあります。

データ暗号化についてさらに詳しく知りたい方は、「たった5分で分かる暗号化技術！図解で見る仕組み・種類・メリット」をご覧ください。

企業の場合は定期的な脆弱性の診断を！

: 大切な情報を扱う企業にとって、セキュリティホールを狙った攻撃は本当に怖いですね。企業として他にするべきことはありますか？

: 規模を問わず、企業をターゲットにしたサイバー攻撃は後を絶ちません。セキュリティホールの対策はもちろんのこと、人為的ミスなども含む脆弱性の定期的な診断も必要不可欠です。

機密情報・個人情報の漏洩やWebサイトの改ざんなどは、企業のブランドイメージを低下させ、業績や存続そのものに影響を与える可能性もあります。
またシステムダウンを誘発して身代金を要求するランサムウェアも増加傾向にあり、注意が必要です。

サイバー攻撃は日々進化しているため、定期的な脆弱性診断を行いセキュリティ対策を見直すことは、規模を問わずすべての企業にとって重要なポイントです。

定期的なセキュリティ診断の必要性やメリットについては、「定期的なセキュリティ診断って必要？メリットや方法を徹底解説」をご覧ください。

脆弱性診断サービスにはさまざまなものがありますが、どれがよいかわからない場合は「OFFICE110」の「セキュリティ調査」をおすすめします。
無料で現地調査を行い、御社の現状を把握したうえで無駄のないセキュリティ対策をご提案いたします。

まとめ

サーバー・アプリ・ネットワークなどは人が設計したもので、不具合や欠陥によるセキュリティホールの発生は避けられないのが現状です。
セキュリティホールを狙ったサイバー攻撃にはさまざまな種類があり、被害を最小限に抑えるためには本記事でご紹介した以下の対策が必要不可欠です。

最新のセキュリティパッチをインストールする
ウイルス対策ソフトを導入する
データを暗号化する

企業の場合は、運用者やユーザーのセキュリティ意識が低いことも多く、セキュリティに関する社内ルールが守られていないケースが見られます。
そこで、セキュリティホールへの対策だけでなく、人為的ミスなどを含む脆弱性を定期的に診断しましょう。

セキュリティ診断のお申し込みやセキュリティ強化に関するご相談は、OFFICE110にお任せください！

セキュリティお役立ち情報

お役立ち情報カテゴリ

セキュリティホールへの攻撃とは？攻撃例と対策を簡単に解説【お役立ち情報】 | OFFICE110