1. 面倒なOSやソフトのアップデート…、しなかったらどうなるの?

ケーススタディ【vol.32】

2016.08.25

面倒なOSやソフトのアップデート…、しなかったらどうなるの?

  • Facebook
  • このエントリーをはてなブックマークに追加

shutterstock_359136038
パソコンやスマートフォンを使っていると、ソフトウェアをアップデートするよう表示されることがありますよね。使いたいソフトを起動したときに表示されると、面倒に感じてしまいがちです。でも、アップデートはソフトウェアを使い続けていく上で非常に大切なこと。ここでは、ソフトウェアのアップデートの重要性について説明します。

【目次】
・なぜアップデートが必要なのか
・脆弱性とその種類、悪用されたときの影響
・アップデートできない場合の対処法

 

なぜアップデートが必要なのか

 パソコンやスマートフォンをはじめ、情報機器やネットワーク機器と呼ばれるものは、ハードウェアをソフトウェアによって制御しています。また、ネットワーク家電や自動車など、さまざまなものにソフトウェアが搭載されています。これらのソフトウェアの多くは、定期的なアップデート(更新)が必要です。

 アップデートには、機能の追加や性能の向上と、不具合の修正という、大きく2つの目的があります。そして、大きな機能追加や、使い勝手が大きく変わるようなアップデートは「バージョンアップ」と呼ばれます。たとえば「Windows 8.1」が「Windows 10」に変わるようなケースで、有償となることが多くなっています。一方、アップデートは一般的に無償で提供されます。

 では、アップデートしないとどうなるでしょう。ひとつは機能の追加や性能の向上が行われません。このため、ソフトウェアが原因で使いづらかったり、処理が遅かったりすることがあっても改善されません。もうひとつは、不具合が修正されないことです。不具合が修正されないままソフトウェアを使い続けることは、大きな危険性があります。

 その危険性のひとつが「脆弱性」です。脆弱性とは、ソフトウェアの設計上のミスなどによる欠陥のことで「セキュリティホール」とも呼ばれます。脆弱性にはいくつかの種類があり、悪用されると情報機器やネットワーク機器を強制的に終了させられたり、乗っ取って遠隔操作されてしまったりという危険なものもあります。サイバー犯罪者にとっては、格好の標的になるわけです。

 ソフトウェアに脆弱性が発見されると、その開発者は修正プログラムを作成し、アップデートとして公開します。この修正プログラムは、パッチと呼ばれることもあります。しかし、公開される情報はサイバー犯罪者もチェックしています。そして、特に危険性の高い脆弱性については、脆弱性を悪用するためのコード(エクスプロイトコード)を作成し、さらに攻撃可能なマルウェアなどを作成します。

 脆弱性の公開からエクスプロイトコードの作成までの時間はどんどん短くなっており、現在は数時間で作成されるようになっています。このため、開発者が脆弱性の修正プログラムを公開したら、なるべく早く適用する必要があります。また、サイバー犯罪者も常に脆弱性を探しています。特に、ユーザー数が多く脆弱性が発見されやすい「Adobe Flash Player」や「Oracle Java」などの製品が標的になりますので、これらの製品を使用している場合はこまめなアップデートチェックや素早いパッチ適用が重要になります。また、これらの製品を使用しないという選択肢も検討しましょう。

image_01

 

さまざまな種類がある脆弱性、特に危険なものは

 脆弱性の種類にはさまざまなものがありますが、まだ世界共通の定義はありません。日本では主に、独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が脆弱性情報の報告の受付や取りまとめを行っています。また、IPAとJPCERT/CCにより運営される「Japan Vulnerability Notes(JVN)」では、最新の脆弱性情報が日々公開、更新されています。

 特に気をつけなければならない脆弱性には、「バッファオーバーフロー」や「SQLインジェクション」「クロスサイトスクリプティング」「クロスサイトリクエストフォージェリ」「ディレクトリトラバーサル」などが挙げられます。これらの脆弱性では、個人情報などを外部から盗み出されたり、ホームページにアクセスしてきたユーザーを別の悪意あるホームページに転送させたり、最悪のケースではシステムが乗っ取られ、外部から遠隔操作されてしまうこともあります。サイバー攻撃者は、常に外部から悪用できる脆弱性を探しているのです。

 IPA(独立行政法人 情報処理推進機構)による、2016年第2四半期における「ソフトウェア等の脆弱性関連情報に関する届出状況」では、同四半期にIPAに届出された脆弱性は、製品別では「Webアプリケーションソフト」が49%とほぼ半数を占め、「スマートフォン向けアプリ」(8%)、「ルーター」(7%)、「アプリケーション開発・実行環境」(5%)と続いています。

 また脆弱性の原因別では、「Webアプリケーションの脆弱性」が62%を占め、「ファイルのパス名、内容のチェックの不備」(6%)、「バッファのチェックの不備」(3%)、「仕様上の不備」(3%)と続いています。Webアプリケーションの脆弱性が多いのは、それだけ標的になっているといえますので、脆弱性を意識する必要があります。

 前述の「JVN」というサイトでは、最新の脆弱性情報はもちろん、過去の脆弱性を調べることもできます。可能であれば、自社で使用しているアプリケーションとそのバージョンを把握しておき、それらの脆弱性情報が公開されたときに対応できるようにしておきたいものです。

image_02

 

アップデートできない場合の対処法

 個人で使用するパソコンやスマートフォンのアップデートであれば、しばらく我慢して待てば完了します。しかし、企業などで使用しているパソコンやサーバーは、アップデートが難しいという現実があります。特にWebアプリケーションでは、アップデート作業のために一時的にサービスを停止しなければならなかったり、アップデートによって別のソフトウェアに悪影響を及ぼしてしまったりという可能性もあります。このため、あらかじめテスト用の環境を構築してアップデートを試すという手間もあります。

 さらに、Webアプリケーションの場合は複数のソフトウェアが動作しているほか、アドオンやプラグインなども使われています。これらのバージョン情報をすべて把握し、アップデートを適用していくのは大変なことです。しかも、自社開発のソフトウェアの場合、開発した人がすでに会社を辞めてしまっていることもあります。またホスティングサービスのオプションとしてCMS(ブログサービスなど)を契約している場合、サービス側ではアップデートを行わないこともあります。

 まずは、自社のWebアプリケーションの状況を把握することが第一となりますが、脆弱性が存在しているかどうかを調べてくれるサービスもあります。それは「脆弱性診断」と呼ばれるサービスで、外部からWebアプリケーションに擬似的な攻撃を行い、成功するかどうかを試し、レポートにまとめてくれますので、このレポートに沿って対策を行っていくことになります。あるいは、「WAF(Webアプリケーション・ファイアウォール)」というソリューションを活用することで、脆弱性対策を行うこともできます。

 WAFをWebアプリケーションの前に置くことで、脆弱性を悪用しようとする通信を検知し、遮断することができます。重大な脆弱性をWAFで防いでおき、その間に実際のアップデートの準備をするわけです。WAFには物理的な機器と、クラウド型があります。クラウド型のWAFを利用すれば、物理的な機器を導入することなく安価な月額料金のみで脆弱性対策を行えます。

image_03

 自動車に運行前点検や定期点検が必要なように、ソフトウェアもこまめなバージョン管理が必要です。脆弱性を放置すると、自社が被害を受けるだけでなく、他者への攻撃の踏み台にされ、意図せずして攻撃者になってしまう可能性もあります。また、個人情報など大切な情報が流出してしまうと、損害賠償など巨額な費用がかかるだけでなく、企業のブランド価値も失墜してしまいます。脆弱性の把握と対応は、企業にとって非常に重要な課題です。全社員が適切なアップデートの必要性やセキュリティリスクについて理解を深めていけるよう取り組みましょう。

yosizawa150-150吉澤亨史(よしざわ こうじ)フリーランスライター
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。
この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加

関連記事 | こんな記事もオススメです。