「脆弱性」っていったい何だ？　そのリスクを理解し、万事に備える

「脆弱性（ぜいじゃくせい）」という言葉が、一般の新聞や雑誌にも登場するようになってきました。この意味を正しく理解し、基本ソフト（OS）やアプリケーションの脆弱性を放置したままにする危険とリスクを知っておくことは大切です。すべてのパソコン利用者に、必ず押さえておいてもらいたいポイントについて解説します。

脆弱性について知るために、まずはその定義を確認しましょう。

脆弱性とは、「プログラムに存在するセキュリティ上の欠陥や不備、プログラムをつくった開発者が予期しない動作や結果をもたらすもの」です。

セキュリティ上の弱点であるため、「セキュリティホール」とよばれる場合もあります。プログラム開発段階での設計、製作上のミスが原因で発生する問題ですが、これが悪用されることによって、ウイルス（不正プログラム）に感染したり、不正アクセスが行われたりという結果を招きます。

ソフトウェアには、さまざまな脆弱性（セキュリティホール）が存在します。最近は、OSやソフトウェアの脆弱性を突いてコンピュータへの侵入を狙う攻撃が後を絶ちません。脆弱性を突く攻撃の経路としては主に次の2つがあります。

Webサイトを閲覧しただけで不正プログラムをパソコンにダウンロード、インストールさせる「ドライブ・バイ・ダウンロード攻撃」があります。これはOSやＷｅｂブラウザなどのソフトウェアに存在する脆弱性を悪用し、不正プログラムに感染させる攻撃です。

例えば、これは英語での攻撃例ですが、グリーティングカードを無料でダウンロードできるという触れ込みのメールが手元に届いて、メール本文の中にあるURLをクリックすると、以下の笑う子猫のWebサイトにたどりつきます。この子猫のページを表示した時点で、パソコンには無条件で不正プログラムがダウンロードされているのです。

不正なファイルを添付した電子メールを送りつけ、ファイルを開封させることで感染させる手口もあります。この添付ファイルには、ソフトウェアの脆弱性を悪用する仕掛けが施されており、脆弱性を未修正のコンピュータではファイルを開くだけで不正プログラムに感染します。

OSやソフトウェアを古いバージョンのまま使用することは、不正プログラム感染や情報漏えいのリスクを高めます。このような状況を避けるため、ユーザはソフトウェアベンダーが提供する「修正プログラム」をすみやかに適用し、脆弱性を修正することが大切なのです。

実際に、不正プログラムの多くは、すでに修正プログラムが公開されているものの放置されたままになっているパソコンを標的にしています。新しい脆弱性情報が公表されると、それを悪用した不正プログラムもすぐに出回りますし、最新のセキュリティパッチが公開されてからユーザが適用するまでのタイムラグを狙う攻撃も存在します。したがって、すでに公開済みの修正プログラムを適用することで不正プログラム感染などの脅威にさらされるリスクを大きく下げることができるのです。

トレンドマイクロの調査では、2012年にWebブラウザを経由して行われる攻撃で脆弱性を狙われたソフトウェアの割合が明らかになりました。その結果を見ると、1位のJavaは46.48％で、半数近くがJavaを標的にしていることがわかります。そしてAdobe Readerは21.13％で2位、Adobe Flash Playerは7.04％で4位にランクインしました。