IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、脆弱性とそれにまつわるゼロデイ攻撃について、注意を喚起している。

IPAでは、ソフトウェアの提供元(ベンダー)から公開される脆弱性情報を分析して、緊急性が高いと判断したものを「緊急対策情報」として発表している。7月にマイクロソフトから4件、アドビから1件の新たな脆弱性情報が公開された。IPAではそのうちの3件を「緊急対策情報」としている。これらの脆弱性はいずれも、修正プログラムが提供される前に脆弱性を悪用した攻撃が確認されていたとのことである。

脆弱性情報が公開されたら、速やかに対応することが対策の基本である。しかし、この7月の事例のように、修正プログラムが提供される前に攻撃が行われることがある。本稿では、脆弱性について改めて確認するとともに、これらの対策方法などを紹介したい。

コンピュータにおける「脆弱性」

まずは「脆弱性(vulnerability)」についてである。脆弱性とは、PCやネットワークなどの情報システム上において、システムの乗っ取りや情報漏えいなどの原因となる可能性のある欠点や仕様上の問題点である。具体的には、ハードウェアでは欠陥、ソフトウェアではバグなどが原因となることが多い。特にソフトウェアでは、WindowsやMac OSなどのOSやアプリケーションソフトのセキュリティ上の弱点を指すことが一般的である。

実際には、これらの弱点を狙い、不正な行為が行われることがある。これらの欠陥や弱点は、開発者が予期しなかった操作などによっても発生することがある。つまり、明白な欠陥や弱点のみが脆弱性ではない点にも注意が必要である。

ソフトウェアやハードウェアのベンダーでは、脆弱性が発見されるとすぐに対策を施すことが一般的である。ソフトウェアであれば、修正プログラムやアップデートなどが行われる。IPAでは、基本的なセキュリティ対策として、脆弱性を解消することと、ウイルス対策ソフトを最新の状態で使用することを推奨している。

そして、どちらか一方ではなく、いずれも実施していないと効果が期待できない。たとえば、ウイルス対策ソフトを最新の状態で使用していたとしても、脆弱性を解消していなければ、予想外の方法でPCなどへの侵入を許すことになりかねないのである。

「ゼロデイ攻撃」は、脆弱性が存在することが判明し、ソフトウェアの修正プログラムがメーカーやベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃である。具体的には、

あるソフトウェアの脆弱性が発見

されてから、修正プログラムを作成するまでは、どんな場合でも時間がかかる。つまり、上記のタイミングから

修正プログラムの提供

までには、かならず"時間差"が存在することは避けられない。そのわずかな時間差を狙い攻撃するのである。ゼロデイの由来は「Zero Day(0日)」にあり、脆弱性の発見されたその日に行われること意味する。脆弱性の程度にもよるが、ゼロデイ攻撃に対しては、ほぼ無防備に近い状態となる(後述するように、一時的に回避する方法などが提示されることもある)。非常に危険な状態となる。

「ゼロデイ攻撃」を受けないための注意点

このような危険な「ゼロデイ攻撃」を受けないためには、ベンダーから公開される脆弱性情報を十分理解し、適切に、かつ迅速に対応することが重要とIPAは注意喚起している。そのためには、まずもって重要なのが情報収集である。

IPAなどが発信する「緊急対策情報」、JVNなどの脆弱性情報ポータルサイトなどから発表される脆弱性に関する情報を活用することである。さらに、情報収集の方法として、IPAでは次のような手段を紹介している。

メールマガジンを利用した情報収集

PCユーザーが使用しているOSやアプリケーションソフト、セキュリティ対策ソフトのベンダー、パソコンメーカーなどがメールマガジンのサービスを提供している場合、それを利用することで、脆弱性に関する情報を入手可能になる。ちなみにマイクロソフトでは「セキュリティニュースレター」を発行している。IPAでは、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてWebサイトから発信すると同時に、メールマガジンでも配信している。

Webサイトからの情報収集

パソコン利用者が使用しているOSやアプリケーションソフト、セキュリティ対策ソフトのベンダー、パソコンメーカーなどのWebサイトで、脆弱性に関する情報が得られる場合がある。定期的に参照しておくべきであろう。ちなみにマイクロソフトの場合では、こちらである。上述したが、IPAの情報やJVNの情報なども参考になる。

補足・解説記事からの情報収集

その他の方法として、IT系のニュースサイトやポータルサイトに掲載される記事を参考にする方法もある。

脆弱性情報の公開時には修正プログラムが提供されていない場合でも、一時的な回避策が提示されていることがある。ただし、実施することで特定のサービスが利用できなくなるなどの影響が出る場合があるので、実施する際は十分注意が必要となる。

また、具体的な回避策が提示されない場合は、当該ソフトウェアを一時的に使用しないなどの対応が有効である。そして、正式な修正プログラムが提供された際には、速やかに修正を適用することも忘れてはならない。