ランサムウェア「WannaCry(WannaCrypt)」はMicrosoft WindowsのSMBv1の脆弱性を悪用した不正プログラムだ。ユーザーの操作を必要とせず、ワーム機能で拡散するという高い感染力を持つものの、多くの場合は脆弱性に関する修正プログラム「MS17-010」を適用していれば感染は免れられる。
実際のところ、ほとんどのユーザーが感染せずにすんだ。これは多くがOSやセキュリティ製品をきちんと最新の状態にしていたからだろう。
現在、ソフトウェア管理面から見たセキュリティリスクはどのくらいあるのだろうか。フレクセラで脆弱性調査を行うSecunia Researchの調査によると、Windows OSにパッチを適用していない日本のPCユーザーの割合は2017年第1四半期には9.3%とされる。残念ながらこの割合は増加傾向にある。1つ前の四半期となる2016年第4四半期では6.5%、1年前の四半期となる2016年第1四半期では5.2%だった。
同社のSecunia Research部門シニアディレクターであるKasper Lindgaardは「率直に言って、重大なマイクロソフトのパッチを2か月も適用せずにいるのは間違っています。特に今回は、こうした事態が起きる可能性が非常に高いと4月に警告されていたのですから、企業各社は重い腰を上げてこの種の脅威とリスクについて真剣に考え始める必要があります」と厳しく指摘している。
フレクセラ・ソフトウェア Secunia Research部門
シニアディレクター Kasper Lindgaard氏
WannaCryに限らず、ソフトウェアの更新を怠るとリスクになることは意識しておくべきだろう。フレクセラは2017年2月に「Personal Software Inspector」からのレポートも発表している。それによると、日本の平均的なPCユーザーは21社の異なるソフトウェアベンダーから、64個のプログラムをインストールしているという。この64個のプログラムのうち、28個(44%)はマイクロソフト製品が占める。逆に言えば、マイクロソフト製品以外は36個(56%)。
2016年の脆弱性の原因のうち、マイクロソフト製品のプログラムに関するものは53%、逆にマイクロソフト製品以外のプログラムは47%。マイクロソフト製品ならOSに付随して一括してアップデート行われるため、あまり意識しなくてもすむ。しかしそれ以外だとアップデート方法はベンダーごとに異なるので注意が必要だ。
フレクセラによると、日本の平均的なPCでは、マイクロソフト製品以外のプログラムでパッチ未適応は13.5%、サポートが終了しているプログラムは6.5%。サポートが終了しているということは、もうパッチは配信されないということだ。WannaCryの場合はサポート終了したOSにもパッチが配信されたが、これはあくまでも例外的な措置。
古いバージョンのままパソコンに残っているプログラムはないだろうか。例えば古いバージョンのAdobe Flash Player、Apple QuickTime、Oracle Java JREなど。使わないと古いバージョンのまま放置してしまいがちだ。使わないプログラムならこまめに削除しておいたほうが安全性は高まる。
WannaCry騒動は「ソフトウェアを最新の状態にしておかないことはリスクになる」という教訓を残したとも言える。マイクロソフト製品であろうとも、それ以外であろうとも、ソフトウェアは最新の状態にしておくことがサイバー攻撃を防ぐ上で重要になる。ソフトウェアアップデートは全てきちんと行われている状態になっているだろうか。今一度チェックを。
