「PCの脆弱性って何?」を解決~ソフトウェアバージョン管理編~
「脆弱性」を辞書やネットで調べると情報セキュリティ分野用語として「コンピュータネットワークにおけるの安全上の欠陥」と出てきます。
OSやソフトウェア、アプリケーションといったプログラムは、残念ながら100%完全な状態ではありません。プログラムの不具合や設計上のミスなどによる弱点が後から見つかる事があり、その弱点が「脆弱性」ということです。
この「脆弱性」はセキュリティホールとも呼ばれコンピュータウイルスの侵入や不正アクセスによる情報漏えいといったサイバー攻撃に使われる事が多いのです。
今回は、ソフトウェアの脆弱性について書きたいと思います。
その前にソフトウェアでよく使われるバグと脆弱性の違いについて説明します。
脆弱性は「プログラムの不具合や設計上のミス」と説明されるのですが、バグを思い浮かべる方もいるかもしれません。
バグは、プログラムが正しく動く事を阻害する要因です。脆弱性は、セキュリティホールと言われることもあり、情報セキュリティ上の欠陥のため悪意のある第三者が利用することで情報漏えいや事業存続が危ぶまれる様なシステム影響を起こしたりするのです。
なので、バグの修正は公開されませんが脆弱性に関しては公開することをメーカーは求められます。
ではソフトウェアの脆弱性とはどのようなものがあるのでしょうか?
見積書や発注書などのやりとりによく使われるPDFを生成するAdobe AcrobatやPDF中身を確認したりするAdobe Acrobat Readerは過去に何度もIPAやJPCERT CCから注意勧告がでています。
直近では1月に「Adobe AcrobatおよびReaderの脆弱性(APSB22-01)に関する注意喚起」が発表されていました。
またExcelやWord、PowerPointといったオフィスでは必須ソフトウェアのMicrosoft Officeでも様々な脆弱性が発見され報告されています。
繰り返し悪用されたと言われる2017年5月10日に発表された「Microsoft Office のリモートからコードを実行される問題」はあまりにも有名です。同じ様な問題がAdobeのFlash Plyaerでも発表されています。
攻撃の7割は「Microsoft Office」の脆弱性をついて行われているとも言われれるくらいで業務での利用率が高いだけに細心の注意が必要です。
さらにAdobe Acrobat ReaderやMicrosoft Officeだけでなくホームページを見るために利用されるブラウザでも脆弱性は報告されています。
会社でも個人利用でも多く使われていたInternet Explorer(以降、IE)ですが、Micsoft社が既に開発を止めMicrosoft Edgeへの変更を促しているにも関わらず未だ利用しているシーンを見かけます。またシステム上IEでしか動かないといったサービスもまだ見受けられる状況です。
2022年6月にはサポートも終了すると表明している状況下で2020年1月に未修正の脆弱性をついた攻撃が報告されています。
利用者がIEを使ってサイトにアクセスすると不正なサイトにアクセスさせたり、加工した Microsoft Office 文書などを実行させたりするとされており日本国内でもこの脆弱性を利用した攻撃があったとJPCERT/CCからも報告されています。
この様に前回コラムで紹介した「OSの脆弱性」だけでなく、いつも使っているソフトウェアにも脆弱性があります。
では、PCに数多くインストールされているソフトウェアの脆弱性への対応をどうすれば良いのでしょうか。
実は難しくないのです。
各ソフトウェアメーカーからアップデートが発表されるので、それをインストールする事です。
スマートフォンのアプリを思い浮かべてください。機種や設定によって違いはありますがアップデートが発表されるとアイコンにバッチがつきお知らせしてくれますよね。
そのアップデートの詳細を見てみてください。「セキュリティに関する問題の解決」など機能だけでなく脆弱性に繋がる更新がされているケースが非常に多くあります。
PCのソフトウェアも同じ様にアップデートはソフトウェアを開くと通知されます。
また少し面倒ですが、「●●●(ソフトウェア名)について」やバージョン情報といったメニュー(右端のヘルプというカテゴリに入っているケースが多い)からアップデートプログラムがないかを確認できるソフトウェアも多いです。
なので、そういった情報を見逃さず、通知されたら新バージョンをインストールする事でソフトウェアの脆弱性の多くを防ぐ事ができます。
アップデート情報を待つこともできますが、IPA 情報処理推進機構では、定期的に脆弱性の届け出状況をレポートしているので参考にすると良いと思います。
ただ、脆弱性が発見されソフトウェアのアップデートプログラムを発表するまでに少なくない時間を要します。
その間にこの脆弱性をついた攻撃が行われることも少なくありません。この攻撃を「ゼロデイ(0-day)攻撃」と呼びます。この攻撃をどう防ぐのかは、企業にとって大きな課題です。
クオリティソフトではPCのOSのセキュリティ状態を無料で診断できる「PCドック」を提供しております。
OSに最新のセキュリティ更新プログラムが適用されているか診断するだけでなく、PCにインストールされているソフトウェアも最新のバージョンが適用されているか診断可能なためPCをセキュアな環境に保つ対策を取ることが可能です。
この機会にぜひ「PCドック」をお試しください。
