知っておくべき6つの脆弱性タイプ

脆弱性とは、テクノロジーシステム内の欠陥や弱点のことです。

サイバーセキュリティでは、まず脆弱性に対処する必要があります。このような弱点はサイバー犯罪者やその他の攻撃者によって悪用され、ネットワーク、情報資産、ソフトウェアアプリケーションに不正にアクセスされてしまう可能性があるためです。

近年の脆弱性の事例としては、CVE-2024-6387 (別名「regreSSHion」)が挙げられます。2024年夏に発見されたこの脆弱性により、Linux環境で認証なしでリモートから任意のコードが実行されるリスクがあります。この脆弱性の影響は広範囲に及び、世界中の多数のサーバーやインフラコンポーネントが影響を受ける可能性があります。

現在はどの組織にも、既知の脆弱性と未知の脆弱性が数多く存在します。脆弱性がどこにどのように存在する可能性があるのかを知っておくことで、先回りして対処できるようになります。この記事では、最も一般的または重要な6つの脆弱性タイプについて解説します。その前に、脅威、脆弱性、エクスプロイトについて整理しておきましょう。

概要：脆弱性、エクスプロイト、脅威、リスク

サイバーセキュリティにおいて、「脆弱性」と「脅威」という用語は相互に関連していますが、別々の概念であり、常にリスクに関連しています。

• 脆弱性は、システム内の欠陥や弱点を指します。これは組織を脅威にさらす要因となります。たとえば、セキュリティ上の欠陥があるソフトウェアは脆弱性となります。
  
• 脅威は、脆弱性を悪用した特定の悪質な事象または敵対的な事象を指します。たとえば、サイバーセキュリティ攻撃を行うハッカーだけでなく、偶発的または意図的に損害をもたらす内部関係者も脅威となります。
• リスクは、脅威が発生したときに損害が生じる可能性を指します。

密接に関連する用語に「エクスプロイト」があります。サイバーセキュリティにおけるエクスプロイトとは、攻撃者が脆弱性を利用するために用いる可能性のある手法のことです。多くの場合、エクスプロイトには、脆弱性を狙って作られたコードが使用されます。攻撃者は、システムの弱点を突くために、以下のようなタイプのエクスプロイトを利用します。

• リモートエクスプロイト：攻撃者はインターネットを介して離れた場所からリモートでシステムにアクセスし、攻撃することができます。物理的なアクセスを必要としません。
• ローカルエクスプロイト：攻撃者はシステムに物理的にアクセスする必要があります。アクセスした後に、脆弱性を悪用してさらなる制御を獲得します。
• ゼロデイ攻撃：対象となる脆弱性は、ソフトウェアベンダーにとっても未知の脆弱性であるため、脆弱性に対処する修正プログラムやパッチがリリースされるまで、潜在的な危険性が残ります。

これらのエクスプロイトを防ぐには、組織はセキュリティパッチを迅速に適用し、不正侵入検知システムを使用するとともに、異常なアクティビティがないか定期的に監視する必要があります。

セキュリティへの影響

セキュリティ対策が必要なのは、脅威が存在するからです(脅威がまったく存在しなければ、少なくとも理論上は、脆弱性があっても問題になりません)。セキュリティ対策は、損害の主な原因である脅威から保護することを目的としています。

脆弱性によってシステムが脅威にさらされる可能性が生まれるため、セキュリティを強化する上では脆弱性への対処が重要な要素の1つになります。これを脆弱性管理と呼びます。

脆弱性管理の概要

正確に言うと、セキュリティ上の脆弱性は通常、以下の2つのいずれかの形で発生します。

• 特定の設計に起因する。コードやハードウェア設計上の欠陥など、製品や更新プログラムに組み込まれたものです。
• ビジネスプロセス内でのテクノロジーの導入方法によって発生する。たとえば、不適切に導入された場合や、ほかのシステムと互換性がない場合などです。

企業のIT環境においてはテクノロジーシステムが非常に広範囲に分散しているため、多くの企業はその点を考慮して、サイバー脅威から防御するために自動化された脆弱性管理ソリューションを採用しています。このようなソリューションでは、一般的に以下のプロセスが実施されます。

1. 脆弱性の検出(脆弱性スキャンの実施)
2. 分類と優先順位付け
3. 解決
4. 再評価と報告

この記事では、脆弱性評価と管理プロセスの第1段階である「検出」に焦点を当て、ビジネス内に存在し得るさまざまなタイプの脆弱性を見ていきます。

最も一般的な脆弱性タイプ

脆弱性が何らかの欠陥や弱点を指すのであれば、デジタルシステムやハードウェアシステム全体に数多くの脆弱性が存在すると考えられます。以下の6つのタイプを知っておけば、脆弱性を分類して、優先順位を付けることができます。

タイプ1：ソフトウェアの脆弱性

このタイプの脆弱性は、ソフトウェア製品内の欠陥を指します。ソフトウェアの脆弱性は、主に以下のような原因で発生します。

• プログラミングエラー(SQLインジェクションやクロスサイトスクリプティングなど)
• 設計上の欠陥(ユーザー要求を適切に認証できない場合など)

サイバー犯罪者がこれらの脆弱性を悪用して、マルウェアペイロードやバックドアをテクノロジースタックにインストールする可能性があります。脆弱性が存在していても、ソフトウェアが論理的に正しく機能し続けることもあります。そのような場合、サイバー犯罪者が脆弱性を悪用しても、なかなか気づかれません。

タイプ2：ネットワークの脆弱性

ネットワークの脆弱性には、以下を制御するソフトウェア、ハードウェア、プロセス内にあるさまざまな脆弱性が含まれます。

• データワークロードのフロー
• ユーザーのトラフィック
• ITネットワーク内でのコンピューティングリクエスト

これらの脆弱性は、OSIモデルの物理層にあるハードウェアコンポーネントから、スタックの上位にあるアプリケーション層まで、多岐にわたります。

ITネットワークを構成するテクノロジーは広範囲に及ぶため、ネットワークの脆弱性を管理することは困難です。ハードウェア製品やソフトウェアサービスはさまざまなベンダーによって提供されており、それぞれが固有のセキュリティリスクにさらされています。すべてのデバイスのソフトウェアとファームウェアが管理され、最新の状態で保たれていても、ファイアウォールやトラフィックルーティングの設定ミスにより、ネットワークファブリックが不正アクセスに対して脆弱になる可能性があります。

タイプ3：設定とプロセスの脆弱性

個々のソフトウェアやハードウェア製品にセキュリティの脆弱性がなく、正常に機能する場合でも、設定ミスによりシステムが危険にさらされる可能性があります。

デフォルトの管理者認証情報を使用して製品を設定している場合、この認証情報がサイバー犯罪者に知られている可能性があります。デフォルトのセキュリティ設定では、機密データのワークロードを自動的に暗号化できない場合があります。そのため、データが流出した場合、以下のようなリスクにさらされることになります。

• データの改ざん
• 企業秘密の流出
• 知的財産の窃盗

設定ミスには、システムのプロセスレベルでリスクにさらされるという側面もあります。このリスクは、TCP/IPプロトコル、トラフィックワークフロー、認証システムなど、ネットワークが正常に動作するための仕組みによってもたらされる可能性があります。

設定ミスにより、ネットワークトラフィックが明示的または暗黙的なセキュリティポリシーに違反する場合もあります。

この時点では、個々のネットワークノードやコンポーネントが予期せぬ動作を示すことはないため、エンジニアリングチームは統計分析に基づいて、適用されるセキュリティポリシーにネットワーク全体が準拠しているかどうかを判断します。

タイプ4：内部脅威

調査によると、サイバーセキュリティに関するインシデントの95%が人的要因に起因しています。また、そのすべてが組織外部の要因とは限りません。

内部脅威の脆弱性は難しいケースです。そもそも従業員は信頼されている存在であり、機密性の高いビジネス情報や重要なテクノロジーシステムへのアクセスが許可されています。従業員が不満を抱き、意図的に組織に損害を与えようとした場合、リスクの大きさは以下の2つの要因によって変わります。

• 割り当てられているアクセス権限
• 不正アクセスを実行する能力

別のパターンとして、事故や従業員による過失、または機密性の高いビジネス情報の取り扱いに関する従業員のセキュリティ意識の欠如から生じる内部脅威もあります。

不満を抱いている従業員の悪意を見つけ出すための明確な方法はありません。同様に、信頼できるチームメンバーによるセキュリティ上の過失を予測することも困難です。ただし、組織はさまざまな対策を講じることで、こうしたリスクを最小限に抑えることができます。たとえば、以下のような対策が挙げられます。

• 最小特権アクセスの原則に基づいた強力なセキュリティアクセス制御の採用。
• 機密データ資産の暗号化。
• ネットワークアクセスやデータ変更に関連するコンピューティングリクエストのリアルタイム監視とオブザーバビリティ(可観測性)。

タイプ5：物理的な脆弱性

サイバーセキュリティの脆弱性において、物理的なセキュリティが特に重要なのは、クラウドインフラベンダーや社内データセンターシステムを運用する大規模な組織です。物理的な脆弱性には、以下が含まれます。

• サーバールームへの入室権限
• カメラの死角
• 不十分な文書化
• データセンター内で行われた物理的作業の記録(ストレージデバイスの交換など)

また、オフィス内での内部脅威や、BYODデバイス(個人デバイスの持ち込み)の盗難や紛失により、組織にセキュリティ上のリスクがもたらされる場合があります。そのため、物理的な脆弱性に対処するには、組織がBYODデバイス上のビジネス情報の使用を管理するための厳格なポリシー統制を実施する必要があります。また、組織の物理的な敷地外からの企業アプリ、サービス、ネットワークへのアクセスも管理する必要があります。

タイプ6：バッファオーバーフローの脆弱性

プログラムがバッファの処理容量を超えてデータを書き込むと、バッファオーバーフローが発生します。その結果、隣接するメモリが上書きされ、システムに問題が発生します。

バッファオーバーフロー攻撃には、以下の2つのタイプがあります。

• スタックオーバーフロー：リターンアドレスが上書きされ、プログラムの流れが変更されたり、任意のコードが実行されたりする可能性があります。
• ヒープオーバーフロー：動的メモリ構造が破損し、セキュリティ侵害につながります。

バッファオーバーフローは、さまざまな問題を引き起こす可能性があります。たとえば、システムやアプリケーションの障害、データの破損(信頼性やデータの完全性に影響)、さらには不正な権限昇格などが考えられます。権限の昇格があると、攻撃者によって不正なコードが実行され、システムが悪用される可能性があります。

バッファオーバーフローは、以下の方法で防ぐことができます。

• バッファサイズや入力を検証する。
• strcpyの代わりにstrncpyのような関数を使用して、バッファサイズを安全に処理する。
• Java、C#、Pythonなど、保護機能が組み込まれているプログラミング言語でコーディングする。
• アドレス空間配置のランダム化やスタックカナリアなどの機能を備えた最新のコンパイラーを使用する。

継続的な取り組みとしての脆弱性対策

システムの脆弱性を見つけたサイバー犯罪者は、その脆弱性を悪用しようとします。ほとんどの場合、ソフトウェア関連の脆弱性は、ベンダーが提供するセキュリティパッチをインストールすることで修正できます。オープンソースコミュニティから、脆弱性に対処するためのパッチが提供される場合もあります。

ゼロデイ攻撃では、より高いリスクにさらされる可能性がありますが、機密データ資産を暗号化し、強力なIDおよびアクセス管理システムを使用してネットワークアクセスを制御することで、高いレベルのセキュリティを維持できます。

このブログはこちらの英語ブログの翻訳です。