IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は脆弱性の解消を行うソフトウェアの自動更新について紹介している。
脆弱性を悪用したウイルスの強制ダウンロード
ウイルスの感染経路にはいくつかあるが、よく使われるのが、Webサイトからの強制的なダウンロードである。これは、不正なWebサイトに何らかの方法で誘導され、そのWebサイト閲覧しただけで、ウイルスを強制的にダウンロードさせられるドライブ・バイ・ダウンロード攻撃という手口である。IPAによれば、この攻撃では、偽セキュリティ対策ソフト型のウイルスに感染させられることが多いとのことだ。
また、最近、頻発している標的型攻撃などでも、PDFを装った添付文書が悪用される。一見すると、普通のPDF文書のように見えるが、文書を開くとPDFに仕込まれたウイルスが発動する。ウイルスは、PC内の情報を流出させようとする危険性がある。
いずれの攻撃でも、ソフトウェアの脆弱性が悪用されている。そのため、ソフトウェアベンダーでは、脆弱性が発見されるたびに、ソフトウェアの更新を提供する。ユーザーは速やかにその更新を行うことで、危険な状態を回避することができる。しかし、IPAの調査によれば、「更新方法がわからない」、「手間がかかる」といった意見が多く見られたとのことである。
さらには、更新を行っていても「更新が頻繁でいつ最新版が公開されたかわからない」といった相談もあるとのことだ。いずれにせよ、脆弱性が放置され、PCが危険な状態となってしまうのである。そこで、IPAでは、ソフトウェアのバージョンをチェックするMyJVNバージョンチェッカを無償で公開して、バージョンチェックを怠らぬことを薦めている。その方法については、本誌でも紹介した。
IPAでは、MyJVNバージョンチェッカとともに、比較的更新が多いソフトウェアについて、自動更新の設定を行うように、推奨している。本稿では、その方法を紹介しよう(いずれも現時点での最新バージョンで行った。もし、古いバージョンを使用中の場合には、まず更新をしてほしい)。ここでは、Windows 7を例にするが、XP、VistaではIPAのこちらのページ(http://www.ipa.go.jp/security/anshin/faq/faq-9-3.html)を参照してほしい。
Windowsの自動更新
まずは、Windows 7の自動更新である。[スタートメニュー]→[コントロールパネル]を選ぶ(図2)。
図2で[システムとセキュリティ]、さらに、図3で[Windows Update]項目の[自動更新の有効化または無効化]を選ぶ。
[重要な更新プログラム]を、[更新プログラムを自動的にインストールする(推奨)]に設定する。あとは、更新日と時刻を設定しよう(図4)。
Java(JRE)の自動更新
図2から[プログラム]を選択する。
図5の下に、Javaのアイコンがあるので、クリックする。Javaコントロール・パネルが開くので、[更新]タブを選び、[更新を自動的にチェック]にチェックを入れる(図6)。
[拡張]をクリックすると、更新の頻度や日時を設定できる。
Flash Playerの自動更新
Flash Playerも同様にコントロールパネルから行う。図2の[システムとセキュリティ]を選ぶ。画面下にFlash Playerのアイコンが登録されている(図7)。
図7のアイコンをクリックすると、Flash Player設定マネージャが起動する。[高度な設定]タブを選択する(図8)。
[アップデートがある場合に自動的にインストールする(推奨)]にチェックを入れる。以上で、設定完了である。
Adobe Readerの自動更新
まずは、Adobe Readerを起動する。[設定メニュー]→[環境設定]と選ぶ。環境設定ダイアログが表示されるので、左の[分類]から[アップデーター]を選ぶ(図9)。
ここで、[自動的にアップデートをインストールする(I)]にチェックを入れる。以上、設定完了である。 残念ながら、脆弱性がなくなるということはないだろう。ここにあげたソフトウェアは、プライベートでも仕事でも不可欠なソフトウェアである。自動更新にすることによって、常に安全な状態を維持したい。