セキュリティホール

セキュリティホール（security hole）とは、コンピュータソフトウェアの欠陥（バグ、不具合、あるいはシステム上の盲点）のひとつで、本来操作できないはずの操作（権限のないユーザが権限を超えた操作を実行するなど）ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。

このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴い、セキュリティホールがネットワークを介して容易に攻撃されうる状態になっているからである。

原因は、プログラムのコーディングミスや、システムの設定ミス、システム設計上の考慮不足などによる。セキュリティホールを生み出す背景には、ソフトウェア企業が成長を続けるため、アプリケーションのバージョンアップのたびに余計な機能を盛り込みソフトウェアを肥大化させることが挙げられる^[要出典]。

[編集] 脆弱性

脆弱性（ぜいじゃくせい）は、英語の vulnerability の日本語訳である。この分野での意味は「弱点」であり、セキュリティホール（保安欠陥）と類似している。ただし、セキュリティホールがより具体的な欠陥を指す傾向があるのに対して、脆弱性は欠陥だけではなく、たとえ意図した（要求仕様どおりの）動作であっても、攻撃に対して弱ければ、つまり「弱点」があれば用いるという点が異なる。たとえば、災害や、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃（ソーシャルエンジニアリング）といった、原因がコンピュータシステムだけに収まらない弱さに対しても用いられる。また、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については脆弱性のほうが好まれる。

[編集] セキュリティホールに関連した騒ぎ

2001年秋、IISの欠陥をついたワーム "CodeRed"、"Nimda"が多くのコンピュータに感染した。

2003年1月にはMicrosoft SQL Serverの欠陥を利用した"Slammer"、8月にはWindows 2000/XPの欠陥を利用した"MSBlaster"というワームが猛威を振るった。

その後も、Microsoft WindowsやIISなど、主としてマイクロソフト製ソフトウェアのセキュリティホールを利用して感染する、ワームやウイルスが出現し、騒ぎとなっている。

対策としては、まずファイアーウォール、または、IPマスカレード（NAPT、NATP、eNAT等とも表記される）に対応したルータを導入し、外部から試みられる接続をすべて遮断した後に、修正モジュールのダウンロード・インストール（WindowsではMicrosoft Update）をこまめに行う処置が中心となる。

[編集] ゼロデイアタック

セキュリティホールを狙った攻撃が、セキュリティホールの修正プログラムや修正バージョンが提供される前に起こること。QHostsやDownload.jectなどが、ゼロデイアタックだったのではないかといわれている。

[編集] エクスプロイト

エクスプロイト（exploit）とはソフトウェアの脆弱性を攻撃すること、及びその方法をいう^[1]。

[編集] 脚注

[編集] 関連項目

• コンピュータセキュリティ
• コンピュータウイルス
• 脆弱性情報データベース
• セット打法（パチンコ・パチスロを動作させているソフトウェアのセキュリティホールを突く操作を行なうことで、大当りを引き当てる方法。多くの場合、店からは不正な遊技方法と見なされ、追放・ないし通報される可能性があり、リスクの高い行為である）

[編集] 外部リンク

• セキュリティホールmemo