セキュリティ
脆弱性
Vulnerability
概要
ソフトウェアやシステムに存在するセキュリティ上の欠陥や弱点。
詳細解説
脆弱性(ぜいじゃくせい)は、ソフトウェアの設計・実装上の不備や設定ミスにより生じるセキュリティ上の弱点である。脆弱性が悪用されると、不正アクセス、情報漏洩、システム改ざんなどの被害が発生する可能性がある。
脆弱性情報はCVE(Common Vulnerabilities and Exposures)として公開・管理されている。脆弱性が発見されてから修正パッチが提供される前に攻撃が行われるゼロデイ攻撃は特に危険である。定期的な脆弱性診断とパッチ適用が重要である。
試験対策のポイント
- 暗記必須:脆弱性はソフトウェアやシステムのセキュリティ上の欠陥・弱点。攻撃の足がかりになる。
- 頻出ポイント:脆弱性が公表・修正される前に攻撃するゼロデイ攻撃が問われる。修正プログラム(セキュリティパッチ)の速やかな適用が対策。
- 関連づけ:脆弱性を狙う攻撃の検証にペネトレーションテスト、脆弱性情報の共有にCVE等のデータベースがある。
事例・具体例
バッファオーバーフロー脆弱性は、プログラムの入力チェック不備により、メモリ領域を越えたデータを書き込まれ、任意のコードが実行される危険がある。