トーテックアメニティ株式会社

http://www.totec.jp/

製品・サービス情報

情報BOX 【 知って得するサイバーセキュリティ講座 】

第11回汎用ソフトウェアの脆弱性対策

2012年9月19日

コンピュータやシステムには脆弱性というものがあり、決してなくならないものであることは、すでにご説明しました。しかし、なくならないものだから何も対策できないかというと、そういうことではありません。脆弱性対策を行うことでリスクを最小限にとどめることができます。

まず、脆弱性対策を行う対象のソフトウェアが、ソフト開発会社が開発・配布・販売し、一般的に使用されている汎用ソフトウェアか、特定の業務やサービスを実現するために開発された専用ソフトウェアかによって対策は違います。

汎用ソフトウェアの場合、一般に向けて広く配布・販売されるため、脆弱性が、より広範囲に影響を及ぼします。攻撃者がより多くの人に攻撃しようと考える場合は、OSやWebブラウザなどの、誰もが使うような汎用ソフトウェアに存在する脆弱性を悪用することが多いのです。

一方、専用ソフトウェアは、汎用ソフトウェアと違って、特定の業務やサービスを実現するために、自社やシステムインテグレータによって開発されるソフトウェアになります。専用ソフトウェアの脆弱性では、特にWebアプリケーションに関する脆弱性が問題となります。

まず、汎用ソフトウェアの脆弱性対策から説明したいと思います。

セキュリティフィックスとパッチ

PDFファイルを読むために、アドビ社が提供しているアクロバットリーダーを利用している人は多いと思います。このアクロバットリーダーをコンピュータにインストールすると、しばしば「アップデートが必要です」とのメッセージが表示されることがあります。メーカー側は、何のためにこのメッセージを発信しているのでしょうか。

攻撃者はプログラムに存在する脆弱性を悪用し、プログラムの動作を乗っ取ることで、コンピュータの権限を奪うことは、すでにご紹介しました(第4回「エラーとバグと脆弱性」第5回「権限と脆弱性」)。アクロバットリーダーにも、攻撃者から送られたメールに添付されたPDFファイルを閲覧するだけで、マルウェア(※)に感染する可能性があると言う脆弱性が、過去に何度か発見されています。

実は、ソフト開発会社がアップデートプログラムを告知する一つの理由は、ソフトウェアに存在する脆弱性を修正することにあります。汎用ソフトウェアの脆弱性に対する対策としては、ソフト開発会社が配布するアップデートプログラムを、インストールすることが非常に重要となります。

※コンピュータウィルスなどの脆弱性を攻撃する悪意のあるソフトウェア

前号へ

◆ 次回は「ゼロデイ攻撃・標的型攻撃と新型ウイルス対策」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

お問い合わせフォーム

過去の記事一覧

このページのトップへ

企業情報
社長挨拶
会社方針
会社概要
会社組織図
沿革
社名の由来
拠点
福利厚生
関連サイト
健康経営宣言
SDGsの取り組み
福利厚生ブログ「TOTEC BENEFIT BLOG」
協賛ブログ「TOTEC SPONSOR PRESS」
事業内容
製品・サービス情報

TOTEC AMENITY LIMITED. All Rights Reserved. since2006.