セキュリティーホール

出典: フリー百科事典『ウィキペディア（Wikipedia）』

セキュリティーホール(Security Hole)は、多くはコンピュータソフトウェアの欠陥（バグ、不具合）のひとつで、本来操作できないはずの操作 (権限のないユーザが権限を超えた操作を実行できる等) ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥についても言う事もある。

このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴い、ネットワーク越しにセキュリティホールが容易に攻撃されうる状態になっているからである。

原因としては、プログラムのコーディングミスや、システムの設定ミス、システム設計上の考慮不足によって生ずる。

[編集] 脆弱性

脆弱性(ぜいじゃくせい、Vulnerability）と言う言葉も「セキュリティーホール」と類似しているが、セキュリティーホールがより具体的な欠陥そのものを指す向きがあるのに対して、脆弱性は欠陥だけには限定されず、たとえ意図した（仕様通り）の動作であっても、攻撃に対して脆く弱い、要するに弱点があればそう表現すると言う点が異なる。

「脆弱性」という用語は、上述のセキュリティホールを表すのに、vulnerabilityの訳語として、コンピュータの世界でも一般的によく用いられるようになった。この「脆弱性」という表現は、災害による被害、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃といった、コンピュータシステムだけに収まらない弱さにも用いられる（ソーシャルエンジニアリング）。

なお、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については「脆弱性」の方が好まれる。

[編集] セキュリティーホールに関連した騒ぎ

2001年秋にIISの欠陥をついたワーム "CodeRed"、"Nimda"が多くのコンピュータに感染した。
2003年1月にはSQL Serverの欠陥を利用した"Slammer"、8月にはWindows 2000/XPの欠陥を利用した"MSBlaster"というワームが猛威を振るった。

その後も、Microsoft WindowsやIISなど、主としてマイクロソフト製ソフトウェアのセキュリティーホールを利用して感染するワームやウイルスが出現し、騒ぎとなっている。

対策として、まずファイアーウォール、又はIPマスカレード（NAPT、NATP、eNAT等とも表記される）に対応したルータを導入し、外部から試みられる接続を全て遮断した後に、修正モジュールのダウンロード・インストール（WindowsではWindows Updateを実施）をこまめに行う処置が中心となる。