情報セキュリティマネジメント試験 用語辞典

セキュリティホール【Security Hole】
システムやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって生じた情報セキュリティ上の弱点のこと。これが残された状態でコンピュータを利用していると、悪意のあるユーザにデータを盗まれたりコンピュータを不正に操作されてしまう可能性がある。セキュリティホールが発見された場合は、対策のための修正プログラムが無償で配布されるため、日頃よりセキュリティアップデートを確実に実施し攻撃を受けるリスクを下げることが重要である。
分野:
情報セキュリティ » 脆弱性
重要度:

(Wikipedia セキュリティホールより)

セキュリティホール (security hole) とは、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)のひとつで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。

このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴い、セキュリティホールがネットワークを介して容易に攻撃されうる状態になっているからである。

原因としては、プログラムのコーディング間違いや、システムの設定間違い、システム設計上の考慮不足、故意に作られ秘密にされた機能の漏洩などがある。

脆弱性

脆弱性は、英語の vulnerability の日本語訳である。この分野での意味は「弱点」であり、セキュリティホール(安全性欠陥)と類似している。ただし、セキュリティホールがより具体的な欠陥を指す傾向があるのに対して、脆弱性は欠陥だけではなく、たとえ意図した(要求仕様どおりの)動作であっても、攻撃に対して弱ければ、つまり「弱点」があれば用いるという点が異なる。たとえば、災害や、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃(ソーシャルエンジニアリング)といった、原因がコンピュータシステムだけに収まらない弱さに対しても用いられる。また、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については脆弱性のほうが好まれる。

セキュリティホールに関連した騒ぎ

2001年秋、IIS の欠陥をついたワーム "CodeRed"、"Nimda"が多くのコンピュータに感染した。

2003年1月には Microsoft SQL Server の欠陥を利用した "Slammer" 、8月には Windows 2000/XP の欠陥を利用した "MSBlaster" というワームが猛威を振るった。

その後も、Microsoft Windows や IIS など、主としてマイクロソフト製ソフトウェアのセキュリティホールを利用して感染する、ワームやウイルスが出現し、騒ぎとなっている。

対策としては、まずファイアウォール、または IPマスカレード (NAPT, NATP, eNAT とも) に対応したルータを導入し、外部から試みられる接続をすべて遮断した後に、修正モジュールのダウンロード・インストール (Windows では Microsoft Update) をこまめに行う処置が中心となる。

ゼロデイアタック

セキュリティホールを狙った攻撃が、セキュリティホールの修正プログラムや修正バージョンが提供される前に起こること。QHosts や Download.ject などが、ゼロデイアタックだったのではないかといわれている。

エクスプロイト

エクスプロイト (exploit) とはソフトウェアの脆弱性を攻撃すること、及びその方法をいう。

出題例

不正アクセスなどに利用される,コンピュータシステムやネットワークに存在する弱点や欠陥のことを何というか。
  • インシデント
  • セキュリティホール
  • ハッキング
  • フォレンジック

正解

「脆弱性」に属する用語
「情報セキュリティ」の他の分野
「セキュリティ」の他のカテゴリ

クリエイティブ・コモンズ・ライセンス

このページのWikipediaよりの記事は、ウィキペディアの「セキュリティホール」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。

© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop