なぜアップデートを後回しにしてはいけないのか
「後で更新する」ボタンを押したことのある人は多いでしょう。しかし、そのわずかな先送りが深刻な被害につながることがあります。
2017年のランサムウェア「WannaCry」は、Windowsの既知の脆弱性(MS17-010)を悪用し、世界150か国・20万台以上のコンピュータに感染しました。Microsoftはこの脆弱性を修正するパッチを攻撃の約2か月前にリリース済みでした。つまり、被害を受けた組織の多くは、単純にアップデートを適用していなかったのです。
WannaCryによる被害総額は推定40億〜80億ドルとされています。医療機関・銀行・電気通信会社など重要インフラが機能停止に追い込まれました。アップデートを適用していれば、この被害の大部分は防げた可能性があります。
脆弱性・CVE・パッチの関係
脆弱性(Vulnerability)とは
ソフトウェアやハードウェアに存在する設計・実装上の欠陥のうち、攻撃者が悪用できるものを「脆弱性」と呼びます。代表的な例を挙げると:
- バッファオーバーフロー:入力値の検証が不十分で、メモリを不正に書き換えられる
- SQLインジェクション:入力のサニタイズ不足でデータベースを直接操作される
- 認証バイパス:認証ロジックの欠陥で正規ユーザーになりすませる
CVE(共通脆弱性識別子)
発見された脆弱性には CVE-2024-XXXXX 形式の番号が割り当てられます。この番号によって、世界中のセキュリティ研究者・企業・ツールが同じ脆弱性を一意に参照できます。
CVSS(共通脆弱性評価システム) では、脆弱性の深刻度を 0.0〜10.0 のスコアで評価します。9.0以上は「緊急(Critical)」とされ、即時対応が求められます。
パッチ(修正プログラム)
脆弱性が発見されると、ソフトウェアベンダーは修正コードを含むパッチをリリースします。パッチを適用することで、その脆弱性は塞がれます。
ゼロデイ攻撃(Zero-Day Attack)
ゼロデイとは、脆弱性が発見されてからパッチがリリースされるまでの修正策がまだ存在しない期間のことです。この期間中に行われる攻撃を「ゼロデイ攻撃」と呼びます。
脆弱性の発見
↓
(攻撃者が悪用開始) ← ゼロデイ期間
↓
ベンダーが発見・修正
↓
パッチリリース
↓
(ユーザーがパッチを適用)← ここまでの間も危険
↓
完全な保護ゼロデイ期間はほぼ防ぎようがありませんが、パッチリリース後に迅速に適用することで被害を最小化できます。2021年末に発覚したLog4Shell(CVE-2021-44228)では、パッチリリース後も数週間にわたって未適用サーバへの攻撃が続きました。
何をアップデートすべきか
優先度:高
| ソフトウェア | 理由 |
|---|---|
| OS(Windows / macOS / Linux) | カーネルレベルの脆弱性は全アプリケーションに影響する |
| Webブラウザ(Chrome / Firefox / Safari) | 最も外部にさらされるソフト。JavaScriptエンジンの脆弱性が悪用されやすい |
| ブラウザ拡張機能 | 更新管理が見落とされがちで攻撃経路になりやすい |
優先度:中
| ソフトウェア | 理由 |
|---|---|
| オフィスツール(Office / LibreOffice) | 悪意あるドキュメントを通じて脆弱性が悪用される |
| PDF ビューア | 埋め込みスクリプトを利用した攻撃手法に使われる |
| メールクライアント | フィッシングとの組み合わせ攻撃の入口になる |
優先度:中〜低(見落としやすい)
| ソフトウェア | 理由 |
|---|---|
| スマートフォンのアプリ | バックグラウンドで動作しており、放置されがち |
| ルーター・NASのファームウェア | 長期間更新されないことが多く、深刻な脆弱性が放置される |
| IoT デバイス(スマートTV、防犯カメラ等) | アップデート機構が貧弱な製品が多い |
ルーターのファームウェアは特に見落とされやすい盲点です。 家庭内のすべての通信を中継する機器のため、乗っ取られると壊滅的な被害をもたらします。管理画面に定期的にログインして、ファームウェアアップデートを確認する習慣をつけてください。
自動更新を正しく設定する
Windows
# Windows Update の状態を確認(PowerShell)
Get-WindowsUpdateLog
# 自動更新の設定確認
Get-ItemProperty -Path “HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update” -Name AUOptions
# AUOptions = 4 → 自動ダウンロード&インストール(推奨)
Windows 10/11 では「設定」→「Windows Update」→「詳細オプション」から「更新プログラムを受信したらすぐにダウンロードしてインストールする」を有効にします。
macOS
「システム設定」→「一般」→「ソフトウェアアップデート」→「自動的にアップデートを確認」をオンにします。「セキュリティ対応とシステムファイル」の自動インストールも必ず有効化してください。
Linux(Ubuntu 系)
# unattended-upgrades のインストール(Debian/Ubuntu)
sudo apt install unattended-upgrades
# 設定を確認・編集
sudo dpkg-reconfigure unattended-upgrades
# セキュリティアップデートのみ自動適用する設定(/etc/apt/apt.conf.d/50unattended-upgrades)
# 以下の行がコメントアウトされていないことを確認:
# ”{$distro_id}:{$distro_codename}-security”;
スマートフォン
- iOS: 「設定」→「一般」→「ソフトウェア・アップデート」→「自動アップデート」をオン
- Android: 「設定」→「システム」→「システムアップデート」から確認。Playストアの「アプリとデバイスの管理」でアプリの自動更新も有効化
アップデートへの抵抗感と向き合う
「アップデートすると動作が変わって困る」「再起動が面倒」という気持ちはよく分かります。しかし現実的な解決策があります。
- 業務外の時間にスケジュール設定 — 深夜に自動再起動するよう設定すれば、業務への影響はほぼゼロです
- テスト後の適用 — 企業環境では一部端末でテストしてから展開する運用が標準的です
- バックアップを先に取る — アップデートによる問題に備えて、事前バックアップを習慣化しましょう
セキュリティアップデートと機能アップデートは分けて考えましょう。機能アップデートは慎重に検討するとして、セキュリティパッチはリリース後できるだけ早く(遅くとも2週間以内)適用することが推奨されます。
企業・組織での管理
個人端末だけでなく、組織全体でパッチ管理を行う場合は以下のツールが活用されています。
- WSUS(Windows Server Update Services): Windows環境の集中管理
- Microsoft Endpoint Configuration Manager(MECM/SCCM): 大規模Windows環境向け
- Ansible / Chef / Puppet: Linux・クロスプラットフォームの構成管理
- Tenable Nessus / Qualys: 未適用パッチのスキャンと可視化
2017年のWannaCryランサムウェア攻撃で悪用された脆弱性の修正パッチは、攻撃の何か月前にリリースされていましたか?
ゼロデイ攻撃とは何を指しますか?