セキュリティ・ホール
セキュリティ・ホール (Security Hole) とは,多くはコンピュータ・ソフトウェアの欠陥 (バグ,不具合) のひとつで,本来操作できないはずの操作 (権限のないユーザが権限を超えた操作を実行できる等) ができてしまったり,見えるべきでない情報が第三者に見えてしまうような不具合をいう. ハードウェアおよびそれを含めたシステム全般の欠陥について,いうこともある.
このような欠陥は古くから存在したが,特に問題視されるようになったのはインターネットの発展に伴い,ネットワーク越しにセキュリティ・ホールが容易に攻撃されうる状態になっているからである. セキュリティ・ホール発生の原因としては,プログラムのコーディングミスや,システムの設定ミス,システム設計上の不備などがある.
脆弱性
脆弱性 (ぜいじゃくせい,Vulnerability) と言う言葉も 「セキュリティ・ホール」 と類似しているが,セキュリティ・ホールがより具体的な欠陥そのものを指す向きがあるのに対して,脆弱性は欠陥だけには限定されず,たとえ意図した (仕様通り) の動作であっても,攻撃に対して脆く弱い,要するに弱点があればそう表現すると言う点が異なる.
「脆弱性」 という用語は,上述のセキュリティ・ホールを表すのに,vulnerability の訳語として,コンピュータの世界でも一般的によく用いられるようになった. この 「脆弱性」 という表現は,災害による被害,悪意のある者がパスワードを管理者から聞き出してしまうような攻撃といった,コンピュータ・システムだけに収まらない弱さにも用いられる (ソーシャル・エンジニアリング).
なお,ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については 「脆弱性」 という用語の方がよく使用される.
セキュリティ・ホールに関連した事件の例
つぎのような事件が騒動をまきおこした.
- 2001 年秋に Microsoft の IIS (Internet Information Services) の欠陥をついたワーム “CodeRed”,“Nimda” が多くのコンピュータに感染した.
- 2003 年 1 月には Microsoft の SQL Server の欠陥を利用した “Slammer”,8 月には Windows 2000 / XP の欠陥を利用した “MSBlaster” というワームが猛威を振るった.
その後も,Microsoft Windows や IIS など,主としてマイクロソフト製ソフトウェアのセキュリティ・ホールを利用して感染するワームやウイルスが出現し,騒ぎとなっている.
対策として,まずファイアウォールや NAPT,NATP,eNAT 等に対応したルータを導入し,外部から試みられる接続を全て遮断した後に,修正モジュールをダウンロードしインストールすること (Windows においては Windows Update を実施) をこまめに行う処置が中心となる.
ゼロデイ・アタック
セキュリティ・ホールを狙った攻撃が,セキュリティ・ホールの修正プログラムや修正バージョンが提供される前に起こることをゼロデイ・アタックという. QHosts や Download.ject などが,ゼロデイ・アタックだったのではないかといわれている.
参考文献
この項目の記述にあたっては Wikipedia の セキュリティ・ホール との項目を参照した.