社内の業務連絡などで、「ソフトウエアのアップデートを行うように」という通知を受けることがしばしばあるのではないでしょうか。普通のユーザーにとっては手間のようにも感じられる「ソフトウエアのアップデート」は、どうして必要なのでしょう。第2回では、ソフトウエアアップデートの必要性や、修正プログラムの適用時に留意すべき事項について解説します。
本稿の内容に関して、一部修正を行いました(2015年11月16日)
セキュリティ関連のキーワードについて、「生徒」と「先生」の掛け合いを通じて、とことん基礎から解説する本連載。今回は、先生に「ソフトウエアアップデートの必要性」について聞いてみたいと思います。
先生、毎月のように「Windows Updateするように」という指示を受けます。普通に使っていても何も問題がないのに、なぜアップデートしないといけないのでしょうか?
普通に使う分には問題がないように見えても、「セキュリティ上の不具合」があるからです。
コンピューターを使っていると、突然ソフトウエアが動かなくなってしまったり、想定しない動作をしたりすることがあります。これは「バグ」や「不具合」と呼ばれ、多くはソフトウエアを開発したときの考慮漏れやミスが原因で引き起こされます。利用者が問題に気付いた場合は、ソフトウエアのメーカーに修正を依頼することになります。
一方で、利用者は不具合に気付いていないけれど、ソフトウエアの開発会社から「セキュリティパッチ」と呼ばれる修正プログラムが提供されることがあります。機能が追加される場合もありますが、機能面での変更はなく、「セキュリティ上の不具合」のみを修正したプログラムの場合もあります。
このような「セキュリティ上の不具合」を「脆弱(ぜいじゃく)性」と呼びます。一般的な使い方をするユーザーにとっては問題にはなりませんが、攻撃者の立場からすると、文字通りそのソフトウエアを使っているコンピューターをウイルスに感染させたり、乗っ取ったりすることができるような「弱点」になります。
このようなセキュリティ上の不具合がある状態でインターネットに接続していると、攻撃を受ける可能性があります。
なるほど。でも、私が使っているような個人のコンピューターなんて攻撃対象になりませんよね?
インターネットにつながっているコンピューターであれば、個人も企業も関係ありません。
例えば、攻撃者は、「おとり」になるWebサイトを用意し、そこにアクセスしてきたコンピューターに脆弱性が残っている場合に、その脆弱性に対して攻撃できるような仕掛けを施しておきます。このWebサイトにアクセスさせるだけで、脆弱性を狙った攻撃が可能ですので、利用者が大企業か中小企業か、大人なのか子どもなのかなどは一切関係ありません。つまり、あなたが使っているコンピューターも「攻撃対象になる可能性がある」ということです。
上記の内容において、「特に『Windows』や『Microsoft Office』『Adobe Reader』『Adobe Flash Player』のような多くの人が使っているソフトウエアに脆弱性が発見されると、攻撃者はその脆弱性が残っているコンピューターを探して攻撃してきます」との記述がありましたが、あたかも攻撃者が能動的に、直接攻撃対象のクライアントコンピューターを検索・スキャンできるかのような誤解を与える表現であったため、削除しました。
同様の理由から、「私が使っているような個人のコンピューターなんて探せませんよね?」という記述についても修正を行いました。
また、「インターネットに接続されているコンピューター1台1台を識別するために使われるのが『IPアドレス』です。これはただの数字ですので、攻撃者にとってみれば、そのIPアドレスが割り当てられているコンピューターが個人のものなのか、企業のものなのかは関係ありません。攻撃者は対象のIPアドレスを順番に変更しながら、攻撃できるかどうかを試していきますので」という記述についても、上記の通り、実際の攻撃方法に沿った内容に修正しました。
次ページから、脆弱性への対応方法について解説していきます。
Copyright © ITmedia, Inc. All Rights Reserved.