脆弱性

記事数:(7)

フットプリンティング：攻撃前の情報収集

情報技術を用いた攻撃は、複雑な手順で行われる場合もありますが、多くの場合、綿密な準備段階を経て実行されます。しっかりと土台を築いて建物を建てるように、攻撃の成功も事前の情報収集にかかっています。この情報収集活動は、攻撃の土台作りであり、フットプリンティングと呼ばれます。フットプリンティングとは、攻撃対象の機器や情報網の弱点を探る偵察活動のようなものです。まるで敵陣を探る斥候のように、様々な方法で情報を集めます。フットプリンティングでは、公開されている情報源から情報を集めることが多くあります。例えば、組織の公式発表や従業員の公開情報、技術関連の発表資料などです。インターネット上には、思いの外多くの情報が公開されています。これらの情報を丹念に集め、分析することで、攻撃者は組織の全体像を把握し、弱点を見つけ出そうとします。また、特定の機器を狙って情報を集めることもあります。これは、特定の機器に接続されている情報網の構造や、機器の種類、使用されている技術などを調べることで、攻撃の糸口を探るためです。フットプリンティングで得られた情報は、後の攻撃計画を立てる上で非常に重要になります。敵の守りの弱点や、侵入経路を特定することで、攻撃の成功率を高めることができるからです。例えば、古い機器を使用していることが分かれば、その機器の既知の脆弱性を突いた攻撃を計画できます。また、組織の情報網の構造が分かれば、最も効果的な侵入経路を選択できます。このように、フットプリンティングは、攻撃の成否を左右する重要な最初の段階と言えるでしょう。しっかりと準備された攻撃に対抗するためには、フットプリンティングについて理解し、自らの組織の情報がどのように見えているのかを把握することが重要です。

危険な転送にご注意：オープンリダイレクトの脅威

皆さんが普段見ているホームページでは、時折、画面上の何も操作していないのに、表示されている場所が別の場所へ切り替わるといった経験をされたことがあるのではないでしょうか。これは、転送と呼ばれる仕組みが働いているためです。まるで案内人が新しい場所へ連れて行ってくれるかのように、自動的に別のページへ移動させられるのです。この仕組みは、例えば、ホームページの模様替えなどで、以前の場所が変わった際に、以前の場所に訪れた人を新しい場所へ案内するために使われます。古い場所に来た人を迷子にさせず、きちんと新しい場所へ案内することで、混乱を防ぐことができるのです。他にも、携帯電話向けのホームページとパソコン向けのホームページを、使う機器によって自動的に振り分けるといった使い方もされています。このように、転送はホームページをより使いやすくするための便利な機能と言えるでしょう。しかし、便利な機能の裏には、常に危険も潜んでいます。この転送という仕組みも、悪意を持った人に利用されると、危険な罠となる可能性があるのです。例えば、偽のホームページへ誘導し、そこで個人情報を入力させて盗み取ったり、気づかないうちに危険なプログラムを仕込んだりするといった悪用が考えられます。転送には、あらかじめ決められた場所へ案内するものと、行く先を自由に指定できるものがあります。特に、行く先を自由に指定できるタイプの転送は、悪用される危険性が高いため、注意が必要です。ホームページを閲覧する際には、アドレスバーの表示をよく確認する習慣をつけましょう。特に、よく知っているホームページへアクセスした際に、アドレスがいつもと違う場合は、注意が必要です。怪しいと感じたら、アクセスを中断する勇気も大切です。便利な機能も、使い方を間違えると危険なものになるということを覚えておきましょう。

WEBサービス

危険なコード：エクスプロイトコード入門

「暗号」とも呼ばれる「符号」、実は私たちの暮らしを支える様々な機械を動かす指示書のようなものです。家電製品や携帯電話、車など、あらゆる電子機器は、この符号によって制御されています。この符号の一種である「攻撃符号」は、まるで家の鍵のかかっていない窓を見つける泥棒の道具のように、機械の弱点を探し出し、不正に侵入するために作られます。この攻撃符号は、機械の防御の隙間を巧みに突き、本来許可されていない操作を実行します。例えば、個人の情報や大切な資料を盗み出したり、機械を思うがままに操ったり、最悪の場合、機械を破壊することもあります。そのため、攻撃符号は、ネットワーク社会における大きな脅威として認識されています。一見すると、普通の符号と見分けがつきません。しかし、その中には、機械を混乱させる巧妙な仕掛けが隠されています。まるで、静かに忍び寄る悪意を持った小さなプログラムのようです。この攻撃符号は、常に進化を続け、より巧妙に、より隠密に、機械の弱点を探し出そうとします。そのため、私たちが安心して機械を使うためには、常に最新の防御策を講じることが重要です。家の鍵をしっかりかけるように、機械の防御システムを最新の状態に保ち、攻撃符号の侵入を防ぐ必要があります。また、怪しい通信や添付資料を開かないなど、一人ひとりが注意を払うことも大切です。ネットワーク社会で安全に暮らすためには、目に見えない攻撃符号の脅威を理解し、適切な対策を講じる必要があるのです。

ＡＩを狙う見えない脅威：敵対的攻撃

近ごろ、機械による知恵、いわゆる人工知能の技術がめざましく進み、私たちの暮らしは便利で豊かなものへと変わってきています。自動で動く車や病気の診断、人の顔を識別する技術など、様々な場面で人工知能が活躍しています。しかし、それと同時に、新たな危険も姿を現し始めています。それが「敵対的な攻撃」と呼ばれるものです。この敵対的な攻撃とは、人工知能が持つ、ものごとを見分ける力をわざと混乱させることで、間違った動きをさせる悪意のある攻撃方法です。まるで人が目の錯覚を起こすように、人工知能は巧妙に作られた罠にはまり、本来とは違う判断をしてしまうのです。例えば、自動運転車の場合を考えてみましょう。道路標識に特殊なシールを貼ることで、人工知能が標識を誤認識し、制限速度を無視したり、停止すべき場所で止まらなかったりする危険性があります。また、人の顔を識別するシステムに敵対的な攻撃を加えると、別人を本人として認識させたり、逆に本人を認識できないようにしたりすることも可能です。この攻撃は、人工知能を使った仕組の信頼性と安全性を脅かす重大な問題として、広く認識されています。もし自動運転車が誤作動を起こせば、大きな事故につながる可能性がありますし、セキュリティーシステムが突破されれば、個人情報が盗まれる危険性も出てきます。そのため、敵対的な攻撃への対策は急務となっています。人工知能を開発する技術者たちは、様々な方法でこの問題に取り組んでおり、より安全で信頼性の高い人工知能の実現を目指して研究を進めています。例えば、人工知能に多くの種類の攻撃パターンを学習させることで、攻撃への耐性を高める方法や、人工知能の判断根拠を明確化することで、誤作動の原因を特定しやすくする方法などが研究されています。人工知能の技術は日々進化していますが、安全性を確保するための努力もまた、同時に続けなければならないのです。

敵対的攻撃：AIの弱点

人工知能は、まるで人のように画像を見分けたり、声を聞き取ったりすることができるようになり、様々な分野でめざましい成果をあげています。自動運転や医療診断など、私たちの暮らしを大きく変える可能性を秘めています。しかし、人工知能にはまだ弱点も存在します。その一つが、人工知能をだます攻撃、いわゆる「敵対的な攻撃」です。この攻撃は、人工知能が認識するデータに、まるで気づかないような小さな変化を加えることで、人工知能を間違った判断に導くというものです。例えば、パンダの絵を人工知能に見せるとします。この絵に、人にはまったく見えないようなごく小さなノイズを加えます。すると、人工知能は、パンダの絵をテナガザルだと誤って認識してしまうのです。まるで、人工知能の目に魔法をかけて、実際とは違うものを見せているかのようです。このような小さな変化は、人間には全く分かりません。パンダの絵は、ノイズが加えられても、私たちには変わらずパンダの絵に見えます。しかし、人工知能にとっては、このノイズが大きな意味を持ち、判断を狂わせる原因となるのです。これは、人工知能がデータの特徴を捉える仕方が、人間とは大きく異なることを示しています。敵対的な攻撃は、人工知能の安全性を脅かす重大な問題です。例えば、自動運転車を考えてみましょう。もし、道路標識に敵対的な攻撃が仕掛けられた場合、自動運転車は標識を誤認識し、事故につながる可能性があります。また、医療診断の分野でも、画像診断に敵対的な攻撃が加えられると、誤診につながる恐れがあります。このように、人工知能の実用化が進むにつれて、敵対的な攻撃への対策はますます重要になっています。人工知能の安全性を高めるためには、このような攻撃を防ぐ技術の開発が不可欠です。

脆弱性評価の指標：CVSS入門

現代社会において、情報を取り扱う仕組みの安全を守ることは、なくてはならないものです。新しい欠陥が次々と見つかる中で、適切な対策を行うには、その危険性を正しく知る必要があります。そこで共通の物差しで様々な欠陥を測るための国際的な基準である共通脆弱性評価システム(CVSS)が重要な役割を果たします。 CVSSは、組織や個人が安全対策の優先順位を決める際に役立つ共通の言葉を提供します。限られた資源を最も効果的に使い、仕組み全体の安全性を高めることができます。この共通の物差しを使うことで、どの欠陥がより危険なのかを数値で示すことができます。例えば、ある欠陥が10点満点で7点と評価されれば、それは深刻な問題であり、早急な対応が必要であることを意味します。もし3点であれば、比較的危険度は低いため、他のより緊急性の高い問題に対処した後に対応しても良いと判断できます。また、異なる仕組みや処理手順の間で欠陥を比較分析する際にも、CVSSは客観的な指標として役立ちます。例えば、ある会社のメール送受信の仕組みに見つかった欠陥と、ウェブサービスの仕組みに見つかった欠陥を比較する場合、CVSSスコアを用いることで、どちらの欠陥がより深刻で、優先的に対応すべきかを判断できます。このように、CVSSは組織内だけでなく、組織間での情報共有や迅速な対応を可能にし、全体的な安全性の向上に貢献します。異なる組織がそれぞれ独自の基準で欠陥を評価していた場合、情報共有が難しく、対応が遅れる可能性があります。CVSSという共通の物差しを用いることで、こうした問題を解消し、より安全な情報環境を築くことができます。

セキュリティー対策の基礎：CVEとは

安全を守る上で、弱点の情報管理は欠かせません。数多くの機械仕掛けや仕組みがある今日、それぞれの弱点を一つ一つ理解し、適切な対策を行うのは至難の業です。そこで、共通弱点番号（CVE）と呼ばれる仕組みが作られました。これは、図書館の本に付けられた番号のように、それぞれの弱点に唯一無二の番号を付けることで、情報を整理し、共有しやすくする役割を担っています。共通弱点番号を使うことで、安全を守る専門家や開発者は、世界中で共通の認識を持つことができます。まるで世界共通語を使うように、弱点の情報交換がスムーズになり、効率的な対策が可能になります。例えば、ある機械仕掛けに弱点が見つかったとします。この弱点は共通弱点番号によって特定され、世界中に共有されます。すると、他の利用者も同じ番号でその弱点を認識し、対策を講じることができるのです。共通弱点番号は、膨大な弱点情報を整理するための体系的な仕組みを提供しています。これは、図書館で特定の本を探す際に、蔵書番号を使って効率的に目的の本を見つけ出すのと似ています。無数にある弱点情報の中から必要な情報を探し出すのは、砂漠で針を探すようなものですが、共通弱点番号を使うことで、必要な情報を素早く見つけ出すことができます。この仕組みを活用することで、安全対策の効率性と正確性を高めることができます。例えば、ある企業が自社の仕組みを守るために、最新の弱点情報を調べたいとします。共通弱点番号を使えば、世界中で報告されている最新の弱点情報を効率的に収集し、自社の仕組みに該当する弱点がないかを確認することができます。これにより、迅速かつ的確な安全対策を講じることが可能になります。共通弱点番号は、安全対策において重要な役割を果たしており、今後もその重要性は増していくでしょう。