members

members

「脆弱性」の恐怖
~ 脆弱性とは何か?Web担当者が知っておきたいこと ~

Tweet

約5億人の個人情報が流出

これは世界的大手企業で実際に起きたことです。
2014年から2018年12月に発見されるまで、データベースへの不正アクセスが発生していたと事故報告書により報告されています。※1
買収した会社のシステムに脆弱性が存在し、その脆弱性に気づかなかったことがこのような事態を招きました。※2

この例のように脆弱性の存在が大きな損害を招くことがありますが、そもそも脆弱性とはどのようなものでしょうか?

目次
  1. 脆弱性とは
  2. 脆弱性の種類
  3. 脆弱性はどう悪用されるのか
  4. 悪用されるとどのような影響を受けるのか
  5. 脆弱性との向き合い方

1.脆弱性とは

開発者がソフトウェアを開発していると時々バグ(欠陥)を作りこんでしまうことがあります。
バグの中には悪用できてしまうものがあり、そのようなバグを『脆弱性』と呼びます。
また、設計ミスによる欠陥も脆弱性に含まれます。※3

では、脆弱性には具体的にどのようなものがあるのでしょうか。

2.脆弱性の種類

脆弱性と呼ばれるものは無数に存在します。
例えば

  • サニタイズ処理を忘れて悪意のあるスクリプトが実行可能になる
  • アクセス制限を設けないことで誰でも操作可能になる
  • 想定しない操作による想定しない動作
  • プログラミング言語やOSに存在するバグ

などです。
これらの多くは設計者・開発者のセキュリティ知識不足や確認不足により発生しています。

では、これらの脆弱性がどう悪用されるのでしょうか。

3.脆弱性はどう悪用されるのか

例えば、サニタイズ処理を忘れてスクリプトが実行可能になるだけで

  • ユーザーのIDとパスワードが盗まれる
  • Webサイトが改ざんされる
  • 詐欺サイトにリダイレクトさせる
  • ウイルスを埋め込まれる

などのように権限が無くてもWebサイトを好き勝手に改ざん・悪用できるようになります。
実際、過去に世界大手動画配信サイトではサービス妨害が行われ、某出版社のWebサイトでは内容が改ざんされたという報告があります。※4

セキュリティ攻撃の例

画像:クロスサイトスクリプティングの被害内容と事例

では、例のようにWebサイトが改ざんされたり、サービス妨害が行われたりすると誰が責任を負い、またどのような影響を受けるのでしょうか。

4.悪用されるとどのような影響を受けるのか

私たちが制作・運用しているWebサイトが攻撃を受けた場合、当然攻撃者が悪いですが、私たちは何も悪くない!というわけにはいきません。
個人情報を扱うWebサイトでは「個人情報の保護に関する法律」により、安全管理措置を講じる義務があります。※5
例えば、企業のWebサイトの脆弱性対策不足による個人情報が漏洩してしまった場合、その企業は被害者へのお詫びや事故調査による出費、信頼損失による売り上げ減少などの損害が生じる可能性があります。
企業にとっては非常に大きな事案であり、原因となったWebサイトの制作者にも責任が求められる場合がありますので、脆弱性を取り除く必要があります。

5.脆弱性との向き合い方

セキュリティの知識を身に着けてセキュアなコーディングを行うことで脆弱性を減らすことが出来ます。
しかし、脆弱性のない完璧な制作はとても難しく、意外な箇所で脆弱性が発生している可能性があるので、セキュリティ会社へ脆弱性診断を依頼し、検出された際は修正対応を行いましょう。
また、脆弱性は日々新しく発見・報告されています。過去では問題なくても、新しい脆弱性が発見されることでそれが脅威となるので、情報を定期的に収集し、脅威が大きい脆弱性が報告されていた際は対策を検討しましょう。

以上脆弱性とは何か、どのような悪影響を及ぼすかについて簡単に説明しました。
日頃から知識を身に着け、脆弱性を減らすことを心掛け、企業やユーザーを攻撃者から守っていきましょう。

参考資料

※1 Marriott Announces Starwood Guest Reservation Database Security Incident | Marriott News Center, 2018/11/30 更新

https://news.marriott.com/2018/11/marriott-announces-starwood-guest-reservation-database-security-incident/

※2 【処分事例】GDPR:マリオットホテルの情報漏えいは£99mil以上 の制裁金 | 各国のデータ・プライバシー法情報金, 2019/07/09 更新

https://world-privacy-watch.com/gdpr/781/

※3 脆弱性(ぜいじゃくせい)とは?|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト

https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html

※4 クロスサイトスクリプティングの被害内容と事例, 2019/05/21 更新

https://securitynavi.jp/7503

※5 個人情報の保護に関する法律 第二十条, 2018/07/27 更新

https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057#I

コラム執筆

當銘 直人(とうめ なおと)

2019年4月入社。第1ビジネスユニット アカウントサービス第17ユニット所属。
WordPressの運用・開発を担当。
セキュリティにとても興味があります。