【第6回】

“セキュリティパッチ”でセキュリティの穴をふさぐ

(01/02/23)

 パソコンを買って以来、そのまま長期間インターネットを利用していませんか? 実はインターネットを利用するソフトの多くにはセキュリティ問題がひそんでいます。たとえると、家の壁に穴が空いていたり、浴室の窓に鍵をかけたつもりでも外から開けることが可能だったというような感じといったらイメージがわくでしょうか。今回はインターネット接続して利用するソフトにまつわる“セキュリティホール”について解説します。

セキュリティホールの存在

セキュリティホールの危険性
セキュリティホールの危険性
 パソコンを買ったときの状態で使うことが、どうして問題なのでしょうか。現在、WindowsやInternet Explorerなどをはじめとする多くのソフトは、新しい機能を次々と追加する傾向にあるため、プログラムがどんどん肥大化しています。そうなると、限られた時間の中で巨大なプログラムを完全に見直し、不具合がないか確認することは事実上不可能です。こうした状況で、ソフトの開発時に開発者が予測できなかったセキュリティ上の不具合が、ソフトの公開後に多数のユーザーがさまざまな環境で使っていくうちに発見されるのです。こういったセキュリティ上の不具合は、一般に“セキュリティホール”と呼ばれています。

 セキュリティホールは、ほぼ毎日いろいろなソフトで発見されています。インターネットは今もなお発展途中にあるため、日々新しい機能が追加されています。新しい機能を利用するため、Webブラウザーなどのクライアントソフトも機能を随時追加し、更新されています。新しいプログラムは可能な限り不具合がないか確認されてユーザーに公開されますが、開発者による事前の不具合確認には限界がありますから、公開後にセキュリティホールが発見されることは後を絶たず、したがってセキュリティ上の不具合を考えなくてよい完全なプログラムは存在しないと言えます。

 それでは、いったいどんなソフトにセキュリティホールの可能性があるのでしょうか。ソフトにはいろんな形で不具合が発見されますが、セキュリティホールに絞って考えると、インターネットに接続するソフトに限られます。たとえばテキストエディターはパソコン内でファイルを作成・変更するソフトのため、インターネットに接続することもありませんから、他人に侵入される可能性はありません。しかし、メールソフトの場合は、文章を書く部分はテキストエディターに似ていますが、メールを送るためにインターネットに接続する点が異なります。この接続する瞬間に、他人に侵入されてしまうかもしれません。ですから、インターネットに接続するソフトを使っている場合は、ひょっとしたらセキュリティホールの可能性が潜んでいるのではないかと、常に考えるようにしましょう。

 セキュリティホールはその名のとおり、ソフトの穴になります。“穴のある”ソフトでインターネットに接続してしまえば、何らかの形でソフトの穴から他人に侵入される可能性があります。このため、穴が発見された時点ですぐにふさがなくてはなりません。たとえば、ダンボール箱に穴があいていれば、箱の中にあるものが外に漏れたり、ひょっとしたら押入れのネズミが侵入して、中のものをかじって壊すかもしれません。そうならないためにもダンボールにガムテープを貼るなどして、応急処置をしたほうがよいでしょう。これと同じようにセキュリティホールの場合でも、応急処置として“セキュリティパッチ”と呼ばれるプログラムをあて、セキュリティホールをふさぐべきなのです。

 セキュリティホールが発見されると、ソフトの開発者からセキュリティパッチが公開されます。セキュリティパッチは、不具合のある部分だけを書き換えるプログラムになっているものがほとんどです。これらはファイルサイズも小さいうえ、ダウンロードしたプログラムをダブルクリックする程度の操作でセキュリティホールをふさぐことができるため、誰でも簡単に利用することができます。ただし、セキュリティパッチを使っても、問題のセキュリティホールには対応できたことになりますが、あくまで応急処置であると捉えてください。ソフトのバージョンアップの際に、ソフト開発者がプログラムを改良し、既知のセキュリティホールについて解決した新しいバージョンを公開します。この時点でやっと問題のセキュリティホールについて、解決できたと考えるほうがよいでしょう。

セキュリティパッチの入手方法

Windows Updateのホームページ
"Windows Update"のホームページ
 セキュリティホールは発見直後が最も危険です。不具合の内容が報告されるため、その情報をもとに悪意のあるユーザーが侵入することが可能になります。そうした侵入を回避するためには、できるだけ速やかにセキュリティパッチをあてるべきです。そのために、ユーザーの情報収集がカギになります。セキュリティホールの動向を知るためには、積極的にソフト開発者のホームページを訪れたり、ソフトのメーリングリストに加わるなどして、最新情報を収集する習慣をつけましょう。先ほども述べたように、セキュリティパッチをあてる作業自体は非常に簡単ですし、ダイヤルアップ環境でもダウンロードの負担はほとんどありませんから、日頃から自分が使っているソフトのセキュリティホールに関する情報が入手できるように準備しておくことが大切です。

 WindowsやIEに対してセキュリティパッチをあてるには、Windows Updateのホームページを利用するのが便利です。Windows Updateのホームページにアクセスすると、自動的にユーザーが利用しているOSの種類やWebブラウザーのバージョンを判別して、ユーザー専用のページを表示してくれます。自分のパソコンにどんなソフトがインストールされ、どんなセキュリティパッチをあてるべきなのかが一覧表示されるうえ、チェックボックスをチェックするだけで簡単にセキュリティパッチをあてることができます。

 そのほか、マイクロソフト社製品のセキュリティホールについての情報は、ホームページの「TechNet Online」というコーナーで確認できます。ソフトごとに検索することも可能なので、自分が使っているソフトについてセキュリティパッチが公開されていないか定期的に確認するとよいでしょう。また「マイクロソフト プロダクトセキュリティ 警告サービス」というセキュリティ問題についてのメールサービスもあり、日々セキュリティホールの情報や、セキュリティパッチの入手場所が報告されています。マイクロソフト製品のユーザーなら誰でも利用できるため、購読してみてはいかがでしょうか。

□Microsoft Windows Update
http://windowsupdate.microsoft.com/
□TechNet Online - Security
http://www.microsoft.com/japan/technet/security/
□マイクロソフト プロダクト セキュリティ 警告サービス 日本語版のご案内
http://www.microsoft.com/japan/technet/security/bulletin.asp

 なお、セキュリティパッチは、パソコンで何か他の作業をしているときではなく、時間に余裕があるときにあてるほうがよいでしょう。なぜなら、セキュリティパッチをあてた場合、プログラムの一部分が書き換わるため、別の不具合が発生することも考えられます。たとえば、IEにセキュリティパッチをあてた場合、外部からIEの機能を利用するソフトが使えなくなったり、ソフトの挙動が変化するかもしれません。不測の自体が起こった場合に落ち着いて対処するためにも、セキュリティパッチをあてる場合は、事後の動作確認時間を見積もっておくことをお勧めします。

セキュリティパッチをあてないとどうなる?

セキュリティパッチで応急処置
セキュリティパッチで応急処置
 それでは、セキュリティパッチをあてないでソフトを利用しつづけるとどうなるか考えてみましょう。たとえば、'98年に発売されたWindows 98をパソコン購入時のまま利用しているとどうなるでしょう。Windows 98に搭載されているWebブラウザーはIE4ですが、現在ではIE4には10種類以上のセキュリティホールが確認されています。

 Windows 98のセキュリティホールのひとつ、「Image Source リダイレクト問題」では、プログラムを修正しないままIEを使用すると、悪意のあるWebサイトの運営者がユーザーのパソコン内にあるファイルを読むことができます。また、「Active Setup コントロール問題」を修正しなければ、OutlookやOutlook Expressなどの電子メールプログラムを利用して、特定のActiveXコントロールを含んだメールを受信した際に、ActiveXコントロールが自動的に実行されてしまいます。これらのセキュリティホールは、セキュリティパッチを複数収録したサービスパックと呼ばれるファイルをインストールすることで解決できます。

 IEなどでは、ソフト本体は日本語版と英語版がほぼ同時にリリースされるのに対し、セキュリティパッチについては、日本語版の公開が英語版よりもずっと遅れることがしばしばです。なかには、日本語版が公開されないセキュリティパッチもあります。英語版のセキュリティパッチが先に公開されるため、日本語版のソフトに英語版のセキュリティパッチをあてたくもなりますが、基本的に英語版のセキュリティパッチは動作保証外になるうえ、うまくあてられないこともあるため、利用を避けるほうが賢明です。また、セキュリティパッチをあてることは、あくまで応急処置にすぎません。ソフトがバージョンアップされる際には、既知のセキュリティホールについて解決された状態でリリースされます。ソフトのバージョンアップを済ませたときに初めて、そのセキュリティホールの問題は解決できたと言えるのです。

 WindowsやIEのサービスパックおよび新バージョンは、ファイルサイズが比較的大きくなります。そのため、ダイヤルアップ環境で利用しているユーザーは、パソコン雑誌の付属CD-ROMに収録されたファイルを利用することも一案です。オンラインソフトの場合は、よほどファイルサイズが大きい場合を除いて、バージョンアップという形で対応することが多いようです。この場合は、作者の指定する方法ですぐに最新バージョンをインストールしましょう。このとき、バージョンアップに関する情報を、作者のサポートホームページや掲示板などで確認しておくことが望まれます。

愛用ソフトの最新情報を入手しよう

 これまで述べたように、インターネットに接続するソフトにはすべてセキュリティホールの可能性があると考えるべきです。セキュリティホールを放置しておくと、他人が無断で侵入して、パソコン内のファイルを閲覧したり、破壊することも不可能ではありません。それらを防ぐためには、セキュリティホール発見後にソフト開発者から配布される“セキュリティパッチ”をすぐにあて、応急処置をすることが大切です。そしてセキュリティホール問題を解決した新バージョンがリリースされたら、できるだけ早急にバージョンアップしましょう。そのため、セキュリティパッチや新バージョンが公開されたらすぐにインストールできるよう、日頃からソフト開発者のホームページなどをチェックして、最新情報を入手するようにしましょう。

 この連載の第1回でウイルス対策について解説しましたが、その後もウイルスの被害はあとを立たないようです。中にはウイルス対策ソフトを利用しているからというだけで安心しきっているユーザーもいるようです。そこで、次回はウイルス対策ソフトの正しい使い方について解説していきます。

(山崎 真裕)

トップページへ
はじめよう! 自分にできるセキュリティ対策 INDEX


Copyright (c) 2001 impress corporation All rights reserved.
編集部への連絡は mado-no-mori-info@impress.co.jp まで