パソコンの「脆弱性」とは、どういう意味?(第24回)

パソコン・インターネットお悩み相談室

第24回 Q.よくパソコンの「脆弱性」という言葉を聞きますが、どういう意味でしょうか?

最近、IT系のニュースやサイバー犯罪のニュースで「脆弱性」という言葉がでてきますが、「パソコンが脆弱」といわれてもピンときません。何が弱いのでしょうか? われわれ一般ユーザーも対策しなければならないのでしょうか?

A.ソフトウエア内に隠れている特に「脆くて弱いところ」を指します。

まず、ニュースでよくいわれる「脆弱性」はパソコン自体の壊れやすさを指すものではありません。ぶつけたら壊れやすいとか、この角度からぶつけると脆弱ですぐ凹むとかそういう問題ではありません。

パソコンを動かしているソフトウエア(WindowsなどのOS自身やアプリケーションソフト)に隠れている「欠陥」を指すと思っていいでしょう。
今まで見つからなかった「欠陥」が発見されたことを「脆弱性が見つかった」といい、その欠陥を利用した悪さが「脆弱性を利用した攻撃」といわれます。そのソフトウエアが脆弱というより、そのソフトウエアに「脆弱な箇所が発見された」と思ってください。

「脆弱性」っていったい何?

ネットにつながっているパソコンはどれでも、外部からネットを通してパソコン内の情報にアクセスしたりパソコンをコントロールできるようになっています。

もちろん勝手にそんなことをされては困りますから、普通は許可無く勝手に外からアクセスできないようになっていますし、外からのアクセスをブロックする機能が働いています。

ですが、パソコンのソフトウエアは非常にたくさんのプログラムが複雑に組み合わさって動作しているため、残念ながら「特定の条件で特定の場所に特定の方法でアクセスすると、ブロックをかいくぐり、本来なら見ることができないデータ(ハードディスク上のデータなど)にアクセスできてしまう」というような欠陥が発見されてしまうことが多々あります。その欠陥を「脆弱性」と呼んでいます。セキュリティーホールと呼ばれることもあります。セキュリティー上の穴、という意味ですね。

そういう欠陥はかなりの頻度で発見されていますが、どれも非常に複雑で万が一にも起きそうにない組み合わせでしか起きないため、気づかれなかったものです。
でも、それがどんなに複雑なものでも、ウイルスを作っているような人や、インターネットを通して企業などの機密情報を狙っている人たちに知られると厄介なことになります。彼らはわざとその「脆弱なポイント」を狙って、ウイルスなどのマルウエアを送り込むからです。

極めてレアな条件でのみ発生する不具合でも、わざとその不具合を起こすようなマルウエアを作られたらひとたまりもありません。
そこで、新しい「脆弱性」が発見されるたびに、マイクロソフトは「Windowsアップデート」を作成して、その欠陥をひとつずつつぶしているわけです。

Windowsアップデートなど、セキュリティー関連のアップデートは必ずしたほうがよい、というのはそういうわけです。

自分のパソコンなんて狙われないと思わないこと

脆弱性を放置したままだと何が起きるでしょう。

「自分のパソコンなんて重要な情報は入っていないし」とか、「自分のパソコンなんてわざわざ狙う人はいない」と思って安心してはいけません。

例えば、他のコンピューターを攻撃するための踏み台として使われるかもしれません(そうすると、攻撃された側からは、あなたのパソコンから攻撃されたように見えてしまいます。それによる冤罪事件もありました)。
ウイルスを仕込むことで、あなたのパソコンからさらにウイルスを広くばらまこうとするかもしれません。

また、あなたのパソコンに入っているアドレス帳をこっそり盗んでしまえば、あなたのみならずアドレス帳に書かれている他の人の個人情報も一緒に持って行かれてしまいます。
それがもし会社のパソコンなら、会社の重要なデータをコピーされてしまうかもしれませんし、顧客情報なら重大な問題となります。これもまた情報漏洩の一種ですね。

脆弱性を放置したままだと、このように、誰のパソコンでもよいという攻撃に対して無防備になってしまいます。

中には、「今問題なくパソコンを使えているのだから、余計なことはしたくない」といって、アップデートを怠る人もいますが、それが一番危険です。
こういった攻撃は、パソコンの利用者の目に見えないところで起きるからです。

できる対策は?

一般のユーザーが脆弱性に対してできる対策はシンプルです。
セキュリティー向上のためのアップデートは必ず実行して、システムを最新の状態に保つことです。

Windowsの場合は、ファイアウォールやWindows Defenderなどセキュリティー関連の機能は必ずオンにしておくこと。Windows 8以降では「アクションセンター」でセキュリティーの設定ができます。

基本的な防衛はそれでOKです。

Windows 8.1ではタスクバーに「アクションセンター」があり、そこで状態を教えてくれます。
Windows 8.1ではタスクバーに「アクションセンター」があり、そこで状態を教えてくれます。
アクションセンターを開くと、各種セキュリティーが有効になっているかどうかを見せてくれます。これが有効になっていれば安心です。
アクションセンターを開くと、各種セキュリティーが有効になっているかどうかを見せてくれます。これが有効になっていれば安心です。

Windows自身を、新しいものにしておくのもよいことです。
Windows XPやVistaの時代と違い、最近はWindows自身が持つセキュリティー関連の機能も強化されています。
一番狙われやすいのは、古いWindowsを古い状態のまま使っているパソコンなのです。

ウイルスなどの被害を防ぐためにも、「Windowsの状態を最新にしておく」「セキュリティ―対策ソフトを入れる」といった対策を心がけてください。

(※本記事の内容は2015年9月9日時点の情報です)

記事の感想をお聞かせください。

パソコンやインターネットの使い方について、疑問やお悩みなども受付中!

関連キーワード:

荻窪 圭 プロフィール
1980年代にパソコン雑誌のライターとしてデビューした老舗のIT系ライター。趣味が嵩じて、「古道研究家」や「猫写真家」と呼ばれることもある。最近はデジタルカメラやスマートフォンを中心に活動しておりデジタルカメラ評論家としての側面が強いが、かつては入門記事を多く手がけるパソコンライターとして、「ASAHIパソコン」「特選街」をはじめとする無数のパソコン誌・一般誌に執筆していた。