脆弱性の定義
脆弱性とは、組織の情報システム、内部統制システム、システム運用、ソフトウェア、ネットワークにおける欠陥のことで、ユーザーの端末をハッカー攻撃のリスクにさらすものです。 脆弱性を悪用するサイバー犯罪者は、機密データへの不正アクセスや悪意のある活動を行ったり、ユーザーのシステムに危害を加えたりすることが容易になります。 ハッカーはさまざまな方法で脆弱性を突きます。
こちらご参照ください: SQLインジェクション、サイバー犯罪
脆弱性の悪用
- クロスサイトスクリプティング。 攻撃者はこの方法でウェブサイトに悪意のあるコードを注入します。 そしてこのコードは、財務情報やログイン認証といったユーザーのデータを盗み出します。
- SQLインジェクション。 悪意のあるコードを挿入することで、SQLインジェクションはデータベース情報へのアクセスを試みます。 クロスサイト・スクリプティングと比較すると、この手法ではサイバー犯罪者が機密情報を盗んだり、IDになりすましたり、その他の種類の有害な活動に関与したりすることができます。
- セキュリティの設定ミス。 ハッカーは、セキュリティ・システムがエラーに直面するように、セキュリティ設定を傍受することができます。 そして、そのエラーを利用してデータ侵害を起こし、機密データを盗みます。
- クロスサイト・リクエスト・フォージェリ。 クロスサイト・リクエスト・フォージェリ攻撃は、認証されたユーザーに、彼らが意図していないことをさせようとします。 ユーザーを騙して、意図せず攻撃者に個人情報を与えてしまう可能性があります。
脆弱性の原因
- 複雑系。 複雑なシステムは、不正アクセスやエラーのリスクを増大させ、保守をより困難にします。
- 親しみやすさ。 攻撃者は特定のコード、ハードウェア、OS、ソフトウェアに精通していることがあり、それによってユーザーのデバイスへの干渉が容易になります。
- 接続性。 1つのサーバーでデータを共有するデバイスは、通常同じIPアドレスを持っているため、脆弱性が発生する可能性が高いです。
- 不適切なパスワード管理。 弱いパスワードや頻繁に使用するパスワードは、ハッカーに推測されやすいため、データ漏洩を引き起こす可能性があります。
- オペレーティングシステムの欠陥。 安全でないオペレーティング・システムは、ユーザーに無制限のアクセスを提供し、ウイルスや悪意のある活動の標的になる可能性があります。
- ソフトウェアのバグ。 プログラマーは、ハッカーが利用できるバグをソフトウェアに残すことがあります。
- 監視されていないユーザーの入力。 もしソフトウェアがユーザー入力が安全であると認識すれば、攻撃者はユーザーに気づかれることなく、簡単にSQLを注入することができます。
