SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

ランサムウェア「WannaCry」騒動が残した教訓

 先週はランサムウェア「WannaCry(WannaCrypt)」の脅威が大きく報じられた。感染するかどうかを分けたのは、主にセキュリティ修正プログラム「MS17-010」を適用しているかどうかだ。フレクセラ・ソフトウェア(以下、フレクセラ)の調査からソフトウェア管理状況に関するリスクを見る。

 ランサムウェア「WannaCry(WannaCrypt)」はMicrosoft WindowsのSMBv1の脆弱性を悪用した不正プログラムだ。ユーザーの操作を必要とせず、ワーム機能で拡散するという高い感染力を持つものの、多くの場合は脆弱性に関する修正プログラム「MS17-010」を適用していれば感染は免れられる。  

 実際のところ、ほとんどのユーザーが感染せずにすんだ。これは多くがOSやセキュリティ製品をきちんと最新の状態にしていたからだろう。  

 現在、ソフトウェア管理面から見たセキュリティリスクはどのくらいあるのだろうか。フレクセラで脆弱性調査を行うSecunia Researchの調査によると、Windows OSにパッチを適用していない日本のPCユーザーの割合は2017年第1四半期には9.3%とされる。残念ながらこの割合は増加傾向にある。1つ前の四半期となる2016年第4四半期では6.5%、1年前の四半期となる2016年第1四半期では5.2%だった。  

 同社のSecunia Research部門シニアディレクターであるKasper Lindgaardは「率直に言って、重大なマイクロソフトのパッチを2か月も適用せずにいるのは間違っています。特に今回は、こうした事態が起きる可能性が非常に高いと4月に警告されていたのですから、企業各社は重い腰を上げてこの種の脅威とリスクについて真剣に考え始める必要があります」と厳しく指摘している。  

フレクセラ・ソフトウェア Secunia Research部門 
シニアディレクター Kasper Lindgaard氏

 WannaCryに限らず、ソフトウェアの更新を怠るとリスクになることは意識しておくべきだろう。フレクセラは2017年2月に「Personal Software Inspector」からのレポートも発表している。それによると、日本の平均的なPCユーザーは21社の異なるソフトウェアベンダーから、64個のプログラムをインストールしているという。この64個のプログラムのうち、28個(44%)はマイクロソフト製品が占める。逆に言えば、マイクロソフト製品以外は36個(56%)。  

 2016年の脆弱性の原因のうち、マイクロソフト製品のプログラムに関するものは53%、逆にマイクロソフト製品以外のプログラムは47%。マイクロソフト製品ならOSに付随して一括してアップデート行われるため、あまり意識しなくてもすむ。しかしそれ以外だとアップデート方法はベンダーごとに異なるので注意が必要だ。  

 フレクセラによると、日本の平均的なPCでは、マイクロソフト製品以外のプログラムでパッチ未適応は13.5%、サポートが終了しているプログラムは6.5%。サポートが終了しているということは、もうパッチは配信されないということだ。WannaCryの場合はサポート終了したOSにもパッチが配信されたが、これはあくまでも例外的な措置。  

 古いバージョンのままパソコンに残っているプログラムはないだろうか。例えば古いバージョンのAdobe Flash Player、Apple QuickTime、Oracle Java JREなど。使わないと古いバージョンのまま放置してしまいがちだ。使わないプログラムならこまめに削除しておいたほうが安全性は高まる。

 WannaCry騒動は「ソフトウェアを最新の状態にしておかないことはリスクになる」という教訓を残したとも言える。マイクロソフト製品であろうとも、それ以外であろうとも、ソフトウェアは最新の状態にしておくことがサイバー攻撃を防ぐ上で重要になる。ソフトウェアアップデートは全てきちんと行われている状態になっているだろうか。今一度チェックを。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9314 2017/05/24 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング