セキュリティホールとは

ＷｉｎｄｏｗｓやＬｉｎｕｘ等のオペレーティングシステム（ＯＳ）を始め、ブラウザ等のアプリケーションといわれるものは、すべてプログラム（ソフトウェア）です。プログラムを考え、作るのは人間です。一方、プログラムの高機能化に伴って、プログラムの大きさ（命令のステップ数）は劇的に大きくなっています。そのため、プログラムには考え方が不完全（設計ミス）だったり、プログラムの段階で間違い（プログラムミス）をしてしまったりすることにより、誤り（バグ）が含まれてしまいます。ソフトウェア製品の出荷までに何段階ものテスト（デバッグ）が行われて、バグは摘出・修正されてはいるのですが、すべてを取り除くことは不可能です。
悪い言葉で言えば、ユーザは不良品をつかまされているのです。摘出・修正されずに出荷されてしまったバグの中でも、システムの安全性にかかわるバグによる不良を”セキュリティホール”と呼んでいます。

セキュリティホールが見つかると、メーカなどの設計者はその不良を解消するようにプログラムの該当部分を修正します。それをパッチとして公表します。パッチとは”つぎあて”のことで、まさにプログラムの”あな”を塞ぐものです。
パッチが公表されるということは、セキュリティホールの存在も公表されることで、クラッカー（悪いことをするハッカー）たちも、そのセキュリティーホールを狙った迷惑プログラム（ウィルスやワーム等）の作成に血道を上げます。

ユーザは、パッチの公表とともに速やかにこれを入手して、自分のシステム（ＰＣ）に適用すればよいのですが、これがなかなかうまくいっていないわけです。
常時接続が一般的になったことにより一般PCユーザ、とりわけ初心者にとっても他人事では済まされなくなっているのですが、初心者には無関心な人も多く、自分には関係がないことだと思ったり、自分のPCが動いているうちはよいと思ったりしている人もいます。また、システムの複雑化に伴い、パッチを適用したことでセキュリティホールは塞がるものの、別の問題が出てしまうこともあり、基幹サーバ等にパッチを適用することに躊躇するサーバ管理者も多く、充分な危険性を認識していたとしても即座に対処できない場合もあるのです。

セキュリティホールを悪用されるとシステムの制御権を第三者に奪われ、勝手放題を許してしまいます。これによって、PC内のファイルを取り出されたり、ファイルを消されたり、ハードディスクを初期化されたりすることもありますが、このPCを他のシステム攻撃のための踏み台にされてしまうこともあります。こうなると単に被害者ではなく、加害者の立場になってしまいます。