一般社団法人 全国個人事業主支援協会

COLUMN コラム

  • 脆弱性の種類 不正な権限昇格

不正な権限昇格について説明していきます。

■概要
不正な権限昇格(Privilege Escalation)は、攻撃者がシステム上で自分の権限を不正に高める行為です。この攻撃により、本来アクセス権がないはずのリソースやデータにアクセスしたり、制御したりすることができるようになります。
権限昇格は主に二つのタイプに分けられ、垂直権限昇格(Vertical Privilege Escalation)と水平権限昇格(Horizontal Privilege Escalation)があります。

■想定される被害
不正な権限昇格によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・垂直権限昇格
垂直権限昇格(または昇格攻撃)は、攻撃者が現在のユーザーレベルからより高い権限レベル(例えば、一般ユーザーから管理者権限へ)に昇格することを指します。このタイプの攻撃は、システムの管理者権限を奪うために行われることが多いです。
・水平権限昇格
水平権限昇格は、攻撃者が同じ権限レベルの別のユーザーの権限を奪取することを指します。例えば、一つのユーザーアカウントから別のユーザーアカウントに不正アクセスすることによりなりすましの被害に会う可能性があります。

■対策
不正な権限昇格の対策として挙げられるものは以下のようなものとなります。
・システムの設定を定期的にレビューし、セキュリティポリシーに従って厳格に管理する。
・定期的なパッチの適用とセキュリティアップデートの実施を徹底する。
・最小権限の原則を適用し、権限を適切に制限する。

The following two tabs change content below.

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア