サイバー攻撃の大部分は、パッチ(ソフトウェアの修正プログラムのこと)が適用されていないソフトウェアから始まっています。そこで、ソフトウェアの開発者は、ソフトウェアの脆弱性の修正に常に取り組んでいます。ソフトウェアを更新すれば脆弱性が修正され、犯罪者たちを阻止することができます。ソフトウェアのアップデートに関する通知があなたや私のところにしょっちゅう飛んでくるのは、そういった事情があります。
アップデートをめぐる状況を詳しく知るため、私たちはアップデートに関する姿勢を約20か国で調査しました(英語記事)。その結果、回答者の2人に1人は[後で通知する]をクリックする傾向にあることが分かりました。これを踏まえ、ちょっと手を止めてアップデートした方がよい重要なソフトウェアのタイプを、5つ紹介することにします。
1. OS
オペレーティングシステム(OS)とは一種の骨組みで、コンピューターやモバイルデバイス上にあるプログラムはすべて、この「OS」という骨組みの内部で稼働します。そのため、OSにセキュリティの問題があると、非常に深刻な結果になる恐れがあります。サイバー犯罪者は、OSの脆弱性を悪用することで、データを暗号化して身代金を要求する、ハードウェア上の暗号資産をマイニングする、決済情報を盗み取る、脅迫に使えそうな素材を見つけ出すといったことができるようになります。
OSに対する攻撃は、大規模で破壊的な結果を呼びかねない部類の攻撃です。例えば、ランサムウェアのWannaCryとNotPetyaは、Windowsの脆弱性を悪用して世界各地の何十万台というコンピューターのセキュリティを侵害し、数十億ドルもの損失をもたらしました(詳しくはこちらの記事をご覧ください)。ところが、この脆弱性を修正するWindowsのセキュリティ更新プログラムは、WannaCryやNotPetyaが大規模な感染を起こす前からダウンロード可能になっていました。
OSの脆弱性の追跡と修正は、常に行われています。そのため、アップデートは定期的に行う必要があります。コンピューターの場合もモバイルデバイスの場合も同様です。
2. ブラウザー
ブラウザーも、デバイスに対するアクセスに利用される可能性があります。例えば、サイバー犯罪者がWebサイトのコードに悪意あるスクリプトを挿入し、このWebページをブラウザーで開くだけでマルウェアに感染するようにする場合があります(こういった攻撃を「ドライブバイダウンロード攻撃」と言います)。
例えば、Google Chromeの脆弱性を利用してコンピューターにトロイの木馬をダウンロードさせるという攻撃がありました。Googleは脆弱性を修正するアップデートを速やかにリリースしましたが、インストールを後回しにした人たちは、このタイプの攻撃に対する脆弱性を残したままでした。
SafariやEdgeなど、最初からインストールされているブラウザーのことも忘れてはいけません。もしかすると存在すら忘れているかもしれませんが、コンピューター内にはちゃんと存在しています。そのプログラムが使われているか使われていないかに関係なく、システム内にただ存在するプログラムを利用する攻撃もあります。14.2よりも古いバージョンのiOSやiPadOSでは、Safariのブラウザーエンジンに脆弱性があり、攻撃者がほかのプログラムを実行できるようになる恐れがありました。
3. オフィススイート
私たちは、文書の表示や編集を頻繁に行います。したがって、そういった作業に使われるMicrosoft OfficeスイートやAdobeスイートの脆弱性が攻撃によく利用されるのは当然の流れです。
例えば、Microsoft WordのDDE機能にある脆弱性を利用して、ランサムウェアLockyをデバイスにダウンロードするというサイバー攻撃がありました(英語記事)。ランサムウェアに感染してしまった被害者は、機密情報を破壊あるいは公開するといって脅され、身代金を要求されました。その後間もなく、Microsoftはパッチをリリースしました(英語記事)。ファイル、企業の評判、そしてお金の安全を守るには、Officeソフトウェアのパッチが公開されたらすぐに適用しましょう。
4. 銀行アプリ
金融関連のアプリに対する攻撃の成功は、相手の財布に自分の手を突っ込めるようになることを意味するので、サイバー犯罪者にとって金融関連アプリは「おいしい」標的の一つです。銀行も当然それを分かっていて、アプリを継続的にアップデートして安全性の改善に取り組んでいます。アップデートが利用可能になったら、すぐにインストールしましょう。
5. ウイルス対策ソフトウェア
セキュリティソフトウェアも、当然ながら、常に最新の状態にしておく必要があります。新しいトロイの木馬やウイルスは、毎日のように出現しています。2020年の下半期だけでも、Kasperskyのセキュリティ製品が検知した悪意あるオブジェクトは、ユニーク数にして8,000万件以上でした(英語記事)。デバイスがサイバーの感染症にならないように、ウイルス対策ソフトウェアも定期的かつタイムリーにアップデートする必要があります。
現在使用しているウイルス対策ソフトウェアは、おそらく既定で自動的アップデートが設定されていると思います。こうしておけば、手間が省けますし、適用し忘れることもありません。念のため、自動アップデートされるようになっているかどうか、設定を確認しておきましょう。ウイルス対策ソフトウェアとマルウェアの定義データベースの両方が、定期的に自動アップデートされるようにしてください。
チェックリスト
コンピューターやスマートフォンが長きにわたって個人データを保護できるようにするには、さまざまなレベルでの保護を検討する必要があります。ソフトウェアをタイムリーにアップデートすることも、その一つです。次のものについては、特に注意を払いましょう。
- OS
- ブラウザー(デバイス上にあるもの全部)
- オフィススイート
- 銀行アプリ
- セキュリティ関連ソフトウェア
アップデートのインストール中にやること
最後に一つ。私たちは、何をするにもデジタルデバイスを使うことに慣れているので、システムアップデート中にコンピューターやスマートフォンが利用できないと、困ってしまうかもしれません。
でも、人生には、コンピューターやスマートフォンがなくてもできることがたくさんあります。時間があればやりたいな、と思っていたことはありませんか?外の新鮮な空気を吸うこと、離れて暮らす家族に電話すること、ネコチャンを思う存分かまってあげること、軽くエクササイズすること…?デバイスのアップデートを開始したら、アップデートが終わるまでの間、何か別のことをする時間ができたと思えば、まさに一石二鳥です。
エクササイズといえば、人気ブロガーでヨガ講師でもあり、かつては一流の体操選手でもあったショナ・ヴァーチュー(Shona Vertue)氏にお願いして、特別なワークアウトルーティンを作っていただきました。OSの「中規模」なアップデート中に体を動かすのにちょうどいいくらいの長さです。特に、姿勢の問題が起きやすい、座りっぱなしで仕事をしている人向けです。ソフトウェアだけでなく、自分自身をアップデートすることも大切です。(インストラクションは英語ですが、動画を見て動きを真似てやってみてくださいね)