脆弱性とは、アプリケーションやOSのバグやセキュリティ上の欠陥のことであって、ハッカーやウイルス作者がユーザのコンピュータに対して不正アクセスをするのに利用される潜在的な危険を与えるもののことを言います。ハッカーは特定のエクスプロイトコードを作成して実際に不正アクセスをします。
一旦、ある脆弱性が(そのソフトウェアの開発者または第三者によって)露見すると、通常そのアプリケーションのベンダーは、そのセキュリティホールを埋めるためにパッチや修正を施します。その結果、ベンダー、セキュリティの専門家、ウイルス作者は、終わることの無い脆弱性を見つけるための競争の輪で結ばれることになるのです。
ここ数年の間、ある脆弱性の発見とそのエクスプロイトコードの作成・利用との間のタイムラグが短くなっています。もちろん、最悪の場合、「ゼロデイエクスプロイト(0-day exploit)」と呼ばれるような、脆弱性の発見と同時にそのエクスプロイトコードが出現することになります。このような場合、ベンダがパッチを作成する余裕がないため、IT管理者は他の回避策を取る必要が生じます。
|