2022 年 09 月 12 日 Manu Santamaría Delgado 著

ソフトウェアアップデートにはシステムの脆弱性を修正するパッチが組み込まれているため、大規模なサイバー攻撃の発生を防ぐ効果があります。しかしアップデートを適用する作業はユーザにとって大きな負担となる場合もあります。アップデートをインストールするためには、コンピュータやサーバを再起動して作業を中断する必要があるためです。そのためアップデートの適用が先延ばしにされ、推奨されるパッチも適用されておらず、個人情報の窃取や損失といったセキュリティ問題を防げていないケースがあります。

ZD Net 掲載のデータによると、企業ネットワークに存在する脆弱性の 61％ は、2016 年またはそれ以前のものにさかのぼるとされていますが、これらの脆弱性には 5 年以上前からパッチが提供されています。実際、ネットワークにアクセスするために悪用されている脆弱性の中には、10 年以上前から存在するものもあります。

ソフトウェアの脆弱性の深刻性

アップデートせずに運良く無傷で済んできたために、「アップデートは必須ではない」という誤った認識を持つユーザもいるでしょう。しかし 2021 年 11 月に赤十字国際委員会（ICRC）を標的としたサイバー攻撃の事例を見ても、それがまったくの誤りであることは明らかです。このインシデントは、ビジネス管理のための Web ベースソリューションを製造する企業 Zoho が開発したシングルサインオンツールが原因でした。この攻撃では、パッチが適用されていない重大な脆弱性がハッカーに狙われて ICRC のシステムにアクセスされました。この攻撃で、51 万 5000 人以上の個人データが漏洩しました。

この点について IBM が年次レポート「X-Force 脅威インテリジェンス・インデックス 2022」で発表したデータによると、2021 年に報告されたサイバー攻撃の 34％ は脆弱性の悪用によるもので、このようなインシデントは 2020 年と比較しても 33％ 増加しています。これは、ハッカーが不正に侵入するためにこの攻撃方法が非常に重要であることを示しています。脆弱性も明らかに増加しています。脆弱性は 5 年間で 19,649 件の増加を見せており、過去最高を記録しています。さらに心配なのは、エクスプロイト、あるいはサイバー犯罪者が脆弱性を悪用するために使用するツールの数も着実に増加していることです。ウォッチガードの脅威ラボがインターネット上の最新のマルウェアや攻撃を分析した「インターネットセキュリティレポート」では、2021 年第 4 四半期にはネットワークエクスプロイトを使用した攻撃が約 570 万件発生し、ネットワーク攻撃が 4 年ぶりの高水準に達したことを伝えています。サイバー犯罪者が計画を実行するために利用できる選択肢は、ますます増えているのです。

ソフトウェアのアップデートは、サイバーセキュリティ対策の基本

以上のように新しい脆弱性は絶えず現れており、米国のサイバーセキュリティおよびインフラセキュリティ局（CISA）は、「すでにパッチが公開されている脆弱性の悪用に対する最善の防御は、ソフトウェアを最新の状態に保つこと」としています。また、ソフトウェアを常に最新の状態に保つために、以下の操作を行うことを推奨しています。

1. 可能な限りソフトウェアの自動アップデートを有効にする。アップデートをできる限り早いタイミングでインストールできます。
2. サポートが終了した（EOL）のソフトウェアや、サポートされていないソフトウェアを使用しない。
3. ベンダのサイトには直接アクセスし、広告や電子メールのリンクはクリックしない。
4. 信頼できないネットワークではソフトウェアアップデートを実行しない。

エンドポイントにおけるセキュリティの強化

組織のサイバーセキュリティを強化するために、ソフトウェアのパッチとアップデートが重要であることはもはや明らかです。CISA が推奨する対策に加え、ネットワークへのアクセス手段として何度も悪用される既知の脆弱性を監視し、その影響を緩和することは企業の義務です。現実的に、他のタイプの脅威よりも大きなリスクをもたらしているのは、上記のような脆弱性なのです。

ツールを利用してシステムを最新の状態に保ち、利用可能なパッチで保護することは、サイバー犯罪に対抗する上で大きな利点となります。ベンダがリリースするアップデートを常に適用することは時に難しく、またエラーが発生する可能性もありますが、ネットワークのエンドポイントにインストールされたパッチを確認できるデータベースがあれば、システムを保護し、脆弱なワークステーションやサーバへのマルウェア攻撃を防止できます。