[PR]

 6月に、日本年金機構からの個人情報の流出が大きな問題になりました。電子メールに添付された書類を開いたことが、情報を盗むコンピューター・ウイルスに感染する引き金になったといいます。そこで犯罪者が利用したのが、ソフトの「ぜい弱性」という問題点でした。ぜい弱性は、パソコンなどで動作する多くのソフトウェアに関わる問題点です。今回は、ぜい弱性とは何か、パソコンでの対策はどうすればよいのか、基本を解説しましょう。(ライター・斎藤幾郎)

「ぜい弱性」はセキュリティー上の弱点

 デジタルセキュリティーでは、OSやアプリケーションソフトなどの更新が重要だとよく言われます。その大きな理由は、更新によってソフトの「ぜい弱性」が解消されるからです。

 ウィンドウズでは、ウィンドウズ・アップデートという自動更新機能でいろいろな修正が行われています。その中で、重要な更新に含まれる「セキュリティ更新プログラム」は、ほとんどがぜい弱性を解消するためのものです(画像1)。

 それでは、この「ぜい弱性」とは何でしょうか。ひとことで言えば、「ソフトに存在する弱点」です。

 単純化して説明しましょう。最大10文字のデータを受け付ける機能に対して、1000文字のデータを読み込ませると、11文字目から先のデータがあふれます。そのまま何事も起きなければよいのですが、ソフトの作りによっては、あふれたデータが、メモリー上に読み込まれているソフトの一部を書き換えてしまうことがあります。この書き換え部分をうまく細工すると、外部からマルウェア(悪意のあるソフト)を読み込んで実行できることもあるのです。

 このように、特定の方法で故意にソフトを誤動作させると、本来なら不可能なことが実行できてしまう状態になっていることを、「ぜい弱性」と呼びます。

 ぜい弱性は、すべてのソフトウェアに存在する可能性がありますが、悪用されやすいのは利用者が多いOSやソフトです。ワードやエクセルなどのオフィス製品、アクロバットリーダー(旧アドビリーダー)などは、その代表格と言えるでしょう。

 細工したDOCファイル(ワードのファイル)やPDFファイルなどをこれらのソフトで開かせることで、ユーザーには普通の書類を開いているように見せながら、背後でマルウェアのダウンロードや実行を行うのです。

 日本年金機構の個人情報流出でも、細工された文書ファイルがファイル共有サービスや電子メールで送り込まれました。業務に関連する書類だと思った担当者がそれを開いたことで、情報を盗み出すマルウェアのインストールが行われたといいます。

 そのほかにも、OSであるウィンドウズそのものや、インターネット・エクスプローラー(IE)やグーグルのクロームなどのウェブブラウザー、ウェブコンテンツの表示などに利用されるフラッシュ・プレーヤー、Javaなども、ぜい弱性を悪用する攻撃のターゲットになります。日本では、ワープロソフト「一太郎」も標的にされることがあります。

一番の対策はソフトの更新

 ぜい弱性が原因となる被害を防ぐには、ソフトを更新するのが一番です(標準でない他社のソフトを使う、ソフトの利用をやめるといった回避法もあります)。更新によって、発見されたぜい弱性が修正され、悪用できなくなるのです。

 ぜい弱性が狙われやすいソフト…

有料会員限定記事こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。

有料会員限定記事こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。

有料会員限定記事こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。

有料会員限定記事こちらは有料会員限定記事です。有料会員になると続きをお読みいただけます。

980円で月300本まで有料記事を読めるお得なシンプルコースのお申し込みはこちら

こんなニュースも