IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。脆弱性の解消について、IPAのMyJVNバージョンチェッカを紹介している。
偽セキュリティ対策ソフトの猛威
3月の呼びかけにおいて、偽セキュリティ対策ソフトの脅威に関して注意喚起を行っていた。3月になっても被害報告が多数IPAに寄せられたとのことだ。
見ての通り、2012年になり、急激に増加している。相談者の多くが、すでに「偽セキュリティ対策ソフト」型ウイルス感染していたことも判明している。さらに調査を進めたところ、以下の事実が判明した。
- セキュリティ対策ソフトはインストール済み
- 出所不明なソフトをダウンロードして、インストールした経験はない
このような状況で、なぜ、ウイルスに感染したのであろうか?IPAでは、ソフトウェアの脆弱性の解消が行われていなかったことが原因としている。事実、
- Windows Updateは行っているが、ソフトウェアのアップデートは行っていなかった
という人も少なからず存在していた。また、ソフトウェアのアップデートの必要性は理解していても、その方法などがわからなかったという人もいたとのことである。IPAの意識調査によれば、
- 「アップデート方法がわからない」が4割
- 「手間がかかる」が2割
- 「アップデートのメリットがわからない」が2割
となった。つまり、セキュリティ対策の重要な対策の1つである脆弱性の解消が行われていない状況が浮き彫りとなったのである。WindowsなどのOSでは、自動的にアップデートが行われることが一般的なので、一般ユーザーが意識しなくとも、脆弱性の解消は行われる。しかし、ソフトウェアによっては、自動で行われないこともある。そこが、偽セキュリティ対策ソフトウェア型ウイルスに狙われたのである。
IPAでは、特に脆弱性が狙われやすいソフトウェアとして、以下をあげている。
- Adobe Flash Player
- Adobe Reader
- JRE(Java Runtime Environment)
この半年でも、Adobe Flash Playerは5回、Adobe Readerは1回、JREは3回のアップデートが行われている。いずれもセキュリティ対策が目的となっている。
MyJVNバージョンチェッカで、脆弱性の放置を防ぐ
では、どのようにして、アップデートを確認すべきか?IPAでは、MyJVNバージョンチェッカというツールを無償で提供している。これは、ソフトウェアのバージョンを調べ、最新であるかを確認することができるものだ。その使い方を説明しよう。まずは、MyJVNバージョンチェッカの実行ページに行く。IPAのトップページや情報セキュリティのトップページからもリンクがあるので、そこから移動してもよい。
ここで、左下にある[MyJVNバージョンチェッカ起動]をクリックする。下にある対象OSは、実際に利用中のOSによって変化する。途中、図3のように実行の確認が行われる。
名前と発行者を確認し、[実行]をクリックする。すると、MyJVNバージョンチェッカが起動する(図4)。
バージョンチェックを行うソフトウェアがあらかじめリストアップされている。チェックを外すと、バージョンチェックが行われなくなるが、外す必要はないだろう。中央上にある[実行]をクリックすると、チェックが行われる(図5)。
古いバージョンがあると、「最新のバージョンではありません」と表示される。さらにその右の[表示]をクリックすると、詳細情報が下のペインに表示される(図6)。
さて、上述したように、アップデートの方法がわからないというユーザーも少なくない。そこで、バージョンアップ方法も解説してある。下のリンクをクリックすると、JVN(脆弱性対策情報のポータルサイト)に接続し、ソフトウェアごとのさらなる情報が提供される(図7)。
ここから、各ベンダーの最新版ダウンロードページへのリンクもある。たとえば、Adobe Flash Playerでは、図8のようになる。
最近では、OSのみならず、多くのソフトウェアも自動的にアップデートが行われるようになってきた。逆に、その安心感から、ついバージョンチェックがあまくなってしまう危険性もある。定期的に、MyJVNバージョンチェッカで確認しておきたい。繰り返すが、脆弱性の解消は、セキュリティ対策の重要な要素である。怠りなく対策をしてほしい。