「脆弱性」とは

「脆弱性」という言葉を聞いたことがある人も多いでしょう。OSやアプリケーションなどにある欠陥や不具合を意味します。同じような意味の言葉に「セキュリティホール」と呼ばれるものがあります。この2つは非常に近い意味で用いられますが、脆弱性に関すれば、欠陥や不具合ではなくても、結果的に悪意を持った攻撃を受けてしまうような場合にも使われることがあります。

脆弱性は、これまでの経緯から、ほぼどんなアプリケーションやOSにも存在しているといっても過言ではありません。すべてのアプリケーションやOSはプログラムにより作成されます。そのため、なんらかのミスが混入することは避けられないといった見方もできます。そこで対策として、アップデートやパッチという形式で、開発元より提供されます。

Windowsでは、Windows Updateという方式で、危険度を明示して配布されます。インターネットに接続可能なPCであれば、たいていのPCで自動的にアップデートが行われ、脆弱性を解消することができます。

さて、脆弱性を突く攻撃にはどのようなものがあるのでしょうか?一般的には次のようなものがあります。

  • リモートからコードが実行される:遠隔地の悪意を持った攻撃者が、脆弱性のあるPCに対して、プログラムを実行可能にします。
  • なりすまし:悪意を持った攻撃者が、正しいユーザーに成り代わって、操作を行います。
  • 特権の獲得:悪意を持った攻撃者が、管理者権限などを取得し、PCの重要なファイルを変更・削除したり、設定を勝手に変更したりします。
  • Webページの改ざん:Webページを改ざんし、不正なプログラムをダウンロードさせたり、危険なWebサイトに誘導しようとします。

このように、脆弱性の放置はそのまま危険に直結します。悪意を持った攻撃者は、つねにこのような脆弱性を悪用し、攻撃を仕掛けるのです。以下では、実際に脆弱性を悪用した事例をみていきたいと思います。

2008年11月以降、急増化しているワームに「WORM_DOWNAD(ダウンアド)」があります。これは、マイクロソフトが2008年10月に公表した「Windows Serverサービスの脆弱性(MS08-067)」を悪用するものです。

  1. WORM_DOWNADに感染したPCは、脆弱性の放置された攻撃対象PCへTCP445番ポートを使い、エクスプロイトコードを送信する。
  2. 攻撃を受けた脆弱性のあるPCは、WORM_DOWNAD感染PCにHTTPリクエストを送信する。
  3. 感染PCから、WORM_DOWNADのコピーが送信される。
  4. 攻撃を受けた脆弱性のあるPCは、不正なWebサイトから不正プログラムをダウンロードする(現在は、不正なWebサイトは閉鎖されている)。

最近の検出状況は図1の通りです。

図1 最近のWORM_DOWNADの検出数(トレンドマイクロのセキュリティブログより引用)