PCWorldで取り上げる他の多くのトピックと同様に、セキュリティにも独自の言語があります。例えば、セキュリティ専門家の集団が会話を繰り広げているのを聞くのは、一般人にとってはフラストレーションが溜まる経験になることがあります。また、日常的なセキュリティニュースの中に専門用語が紛れ込んでいることもあります。
ただし、次の 5 つの主要なセキュリティ用語の意味を知っておくと、周囲の脅威についてよりよく理解できるようになります。
ゼロデイ:ソフトウェア企業が「ゼロデイ」の脆弱性やエクスプロイトについて話すのを耳にすることがあります。「ゼロデイ」とは、ソフトウェアメーカーがまだ修正していない、新たに発見されたソフトウェアのセキュリティ上の欠陥を指します。
ゼロデイ脅威は深刻な懸念事項であると一般的に考えられていますが、誰もがそう考えているわけではありません。Microsoftの最近のレポートによると、実際にゼロデイ脆弱性を悪用する重大なセキュリティ脅威はごくわずかです。それでも、ソフトウェアを最新の状態に保つことが重要です。
リモートコード実行:これはセキュリティアップデートの話題でよく使われる用語です。Microsoftの10月パッチ火曜日のリリースノートからの抜粋です。「最も深刻な脆弱性により、ユーザーがInternet Explorerを使用して特別に細工されたWebページを閲覧した場合、リモートコード実行が発生する可能性があります。」
「リモートコード実行」とは、サイバー犯罪者が脆弱性を利用して遠隔からコンピュータにアクセスし、マルウェアを実行する可能性があることを言い換えたものです。リモートコード実行を利用するマルウェア攻撃は、通常、Webブラウザ、画像ビューアアプリケーション、動画・音楽プレーヤー、PDFビューアなどのバグを狙っています。
Microsoftの引用文が示唆するように、これらのバグは通常、犯罪者が脆弱性を悪用するために意図的に改ざんしたWebページ(および画像ファイルや動画ファイル)によって引き起こされます。そのため、たとえ添付ファイルが画像ファイルやPDFファイルであっても、予期しないリンクをクリックしたり、メールの添付ファイルを開いたりすることは避けるべきです。
サンドボックス:リモートコード実行から保護する方法の一つは、サンドボックスと呼ばれる技術を活用することです。この技術は、アプリやその他のソフトウェアプロセスを分離することで、たとえ攻撃者がソフトウェアのセキュリティホールを発見したとしても、それを悪用してコンピュータにマルウェアをインストールすることを防ぎます。
サンドボックスを採用したソフトウェアの顕著な例として、Adobe Reader Xが挙げられます。攻撃者はAdobe ReaderのPDF処理のバグを利用してPCにマルウェアをインストールすることが一般的であるため、サンドボックスの追加によりAdobe Readerのセキュリティが大幅に向上しました。サンドボックス化によってソフトウェアが攻撃から完全に遮断されるわけではありませんが、この技術によってセキュリティが一層強化され、多くの攻撃を阻止できるようになります。
SSL:銀行のウェブサイトにアクセスしたり、Amazonで買い物をしたりしたことがある方は、ブラウザのツールバーに鍵アイコンが表示され、ウェブアドレスが「http」ではなく「https」で始まっていることに気づいたかもしれません。これはSSLが機能しているからです。SSL(Secure Socket Layer)は、ユーザーとアクセス先のサイト間でやり取りされる情報を安全に保護する方法です。SSLは、インターネット上のポイントからポイントへと送信されるデータを暗号化し、第三者の目に触れないようにします。
銀行やショッピングサイトなど、機密情報を扱うウェブサイトのほとんどは、個人情報を保護するためにSSLを使用しています。Facebook、Gmail、TwitterなどのサイトでもSSLを使用するオプションが用意されています。その他のサイトでは、アカウント設定でこの機能が利用可能かどうかをご確認ください。
証明書:悪意のあるサイトも含め、あらゆる Web サイトが SSL を使用する可能性があるため、ブラウザのツールバーにあるロック アイコンだけでは安全であるとは限りません。
証明書の出番です。簡単に言うと、証明書とは一種のデジタル文書、つまりIDバッジのようなもので、サイトの身元を証明するものです。証明書は通常、「証明機関」と呼ばれる組織によって発行され、そのほとんどは「署名」されています。これは基本的に、証明機関が対象のウェブサイトの身元を検証できたことを意味します。ただし、証明書が署名されていない場合は、ブラウザに警告が表示されることがよくあります。
しかし、セキュリティに関するあらゆる事柄と同様に、証明書は確実なものではありません。9月、ハッカーがオランダの証明機関であるDigiNotarのコンピュータシステムに侵入したと主張しました。この侵入により、攻撃者が悪意のあるサイトを正当で安全なものに見せかけるために使用する可能性のある偽造証明書が発行されました。
さらに詳しく知りたい方は、セキュリティトレーニング会社SANSがセキュリティ用語の包括的な用語集を提供しています。Googleの「Good to Know」サイトは、インターネットセキュリティの基本を復習するのに最適な場所です。また、当社のセキュリティアラートブログでは、セキュリティに関する最新ニュースや情報を随時提供しています。
