TOP > 記事・コラム > 知って得するサイバーセキュリティ講座

第2回 権限と脆弱性

著者:藤原 礼征 トーテックサイバーセキュリティ研究所 所長

トーテックアメニティ(株)の運営する、トーテックサイバーセキュリティ研究所では、毎月、「知って得するサイバーセキュリティ講座」を、メールマガジン形式にてお届けしています。 銀行員comの読者の方にも、過去の配信から選りすぐりの記事をお届けします。

●「知って得するサイバーセキュリティ講座」第5回配信より

 OSの機能のうち、セキュリティ上最も重要な機能が、権限管理となります。 権限とは、OSが管理するファイルや機能に対して、ユーザが使ってもよいかどうか設定を行うことです。プログラムが実行されると、実行したユーザの権限の範囲内でしかプログラムは動作することができません。ユーザが権限を持っていないファイルに対してプログラムを使ってアクセスしようとした場合、OSによってそのアクセスは拒否され"エラー"として処理されます。

 コンピュータに存在するデータは、この権限によってガチガチに守られています。攻撃者はこの権限をなんとか奪うことで、必要な情報を奪おうとするのです。

 では、この権限を奪う方法とは何でしょうか。それは、すでに権限を持って動作しているプログラムを乗っ取るのです!!

 この、権限を乗っ取るために悪用されるのが、脆弱性です。 攻撃者は、脆弱性を侵入口にして、攻撃者の用意したエクスプロイト(※)を送り込みます。送り込まれたエクスプロイトが活動を開始すると、本来のプログラムの動作が乗っ取られ、権限が盗まれてしまいます。

 こうなってしまうと、後は、攻撃者の思い通りです。ユーザの権限の範囲で、さまざまな悪意のある活動が行われてしまいます。もし、管理者権限で動作しているプログラムが乗っ取られてしまうと、コンピュータのすべての機能とファイルが悪用されてしまうのです。
(※)エクスプロイト:プログラムのセキュリティ上の脆弱性を攻撃するために作成されたプログラム

※続きは、トーテックアメニティHPをご覧下さい。
http://www.totec.jp/service/cyber-security/info_box/index.html
サイバー攻撃からあなたの会社を守る方法
サイバー攻撃からあなたの会社を守る方法
著者
藤原 礼征 トーテックサイバーセキュリティ研究所 所長
 

>>「Amazon」での紹介ページはこちら