インターネットを安全に使うためには、パソコンのOSやアプリケーションのアップデートが欠かせません。Windows OSについては5月の本欄で説明しましたので、今回はアプリケーションの中でも特にウイルス感染の原因になることが多い、3つのプラグイン(Adobe Reader、Adobe Flash Player、JRE)のアップデート方法について解説します。Webサイトを閲覧しただけで、知らない間にウイルスに感染してしまったという被害が後を絶ちませんが、その多くは、この3つのプラグインのアップデートで防ぐことができます。
<INDEX>
■アップデート(脆弱性の修正)がセキュリティの基本
■アップデート前の基礎知識
■コントロールパネルの操作(開き方/表示切替え/検索)
■「Adobe Reader」を最新版(Adobe Reader XI 11.0.07/X 10.1.4)に
★コラム:Adobe Readerをより安全に使うために
■「Adobe Flash Player」を最新版(14.0.0.125)に
■「JRE」を最新版(Version 7 Update 60 [1.7.0_60])に
★コラム:Javaをより安全に使うために
<以下本文>
Webサイトや文書ファイルを閲覧するだけで、意図しないプログラムが勝手に実行されてしまうような、セキュリティ上の問題を引き起こす欠陥のことを脆弱性(ぜいじゃくせい)といいます。脆弱性が悪用されると、セキュリティソフトを入れたパソコンを注意深く利用していても、ウイルスに感染してしまう危険があります。
ソフトウェアの開発元は、脆弱性が見つかると問題点を修正し、ユーザーにアップデートするよう呼びかけます。ところが、せっかくのアップデートを適用せず、危険な状態のまま使い続けている人が多く、防げたはずの被害にあってしまう方が後を絶ちません。
ウイルス感染などに悪用されることが特に多いのは、利用者が多いマイクロソフトのWindowsとOffice製品、Adobe Reader、Flash Player、JRE(Java Runtime Environment:Java実行環境)です。これらだけでも、アップデートを欠かさずに行っていれば、被害を大幅に減らすことができます。
マイクロソフトの製品は、Windows UpdateやMicrosoft Updateを使って一括してアップデートできます。詳しくは、次のトピックスをご覧ください。
・インターネットの安全利用に欠かせないアップデート【Windows OS編】
本稿では、個別にアップデートしなければならない、悪用されることの多いソフトウェア3本「Adobe Reader」「Adobe Flash Player」「JRE」について、アップデートの方法をご紹介します。これらは、 Web閲覧ソフトのブラウザに機能を追加する「プラグイン」として、ユーザー自身がインストールしている場合もありますが、購入したパソコンに最初からインストールされていたり、他のソフトウェアと一緒にインストールされたりすることもあるので注意が必要です。利用している覚えがなくても、インストールされていないかどうか確認し、インストールされている場合には最新版にアップデートしましょう。
アップデートに際しては、いくつかの注意事項があります。普段あまり行わないような操作もあるので、アップデートを行う前に、これらをぜひ覚えておいてください。
・アップデートはインターネットに接続できる状態で
最新版の確認やダウンロードは、インターネットを使って行います。アップデートは、必ずインターネットに接続できる状態で行ってください。
・アップデートは管理者アカウントで
ソフトウェアのインストールやアップデートのような、システムの設定・変更を伴う操作を行う際には、管理者権限をもつ管理者アカウントで許可を与える必要があります。管理者アカウントを設定した覚えのない方は、Windowsを初めてセットアップしたときのアカウントを思い出してください。それが管理者権限を持つ管理者アカウントです。
管理者権限を持つアカウントでログオンしている場合には、管理者権限が必要な際にWindows 7/8では「次のプログラムにこのコンピューターへの変更を許可しますか?」、Windows Vistaでは「続行するにはあなたの許可が必要です」というメッセージを表示し、確認を求めてきます。「はい(Y)」を選択して進んでください。
管理者権限を持たないアカウントでWindowsにログオン(サインイン)している場合には、管理者権限が必要な際に「管理者アカウント」のパスワードを入力するよう求められます。一時的に管理者に切り替えて作業を続けることができるのですが、インストーラーの一部には、途中で管理者に切り替えた場合に、インストールに失敗ししまうものがあります。アップデートを行う際には、予め管理者アカウントでログオンしておくことをお勧めします。
図1 ダイアログボックスを表示してユーザーに許可を求める
・インストール時は不要なアプリケーションを閉じる
アップデートは、他の作業と並行して行うことができますが、使用中のプログラムなどは更新することができません。このような場合には、インストール時に特定のアプリケーションを終了するよう指示されたり、インストール後にブラウザやシステムの再起動を要求されたりします。インストーラーの実行や[インストール]ボタンを押す前に、不要なアプリケーションを閉じておくと、再起動の手間を最小限に抑えることができます。
・ダウンロードは公式サイトから
最新版の入手は、ソフトウェアの更新機能を使って行う場合と、ユーザー自身でWebサイトからダウンロードしてくる場合があります。ソフトウェアに機能が備わっている場合には、それを利用しましょう。自身でダウンロードする場合には、必ず公式サイトでからダウンロードしてください。インターネット上では、最新版などと称して悪質なプログラムをインストールさせようとする行為が横行しています。公式サイト以外からのダウンロードには、大きな危険が伴うのでご注意ください。
・インストーラーの実行時には署名確認を
このトピックスでとりあげているプラグインは、いずれもファイルに電子署名が付いており、作者やファイルが改ざんされていないことを確認できるようになっています。署名は、ファイルのプロパティで確認できますが、前掲のユーザーアカウント制御の通知や、ダウンロードしたインストーラーを実行する際のセキュリティの警告にも表示されます(図2)。偽物にだまされないように、正しい発行元であることを確認しましょう。
図2 「セキュリティの警告」に表示される「発行元」の確認を
表1 各プラグインの発行元
アップデートやプラグインの設定などを行う際に、「コントロールパネル」を使用することがあります。簡単な操作法をおぼえておきましょう。
【コントロールパネルの開き方】
<Windows XP/Vista/7では>
(1) [スタート]ボタンをクリックします。スタートボタンは、パソコンの画面の左下にあります。
図3 スタートボタン
(2)[コントロールパネル]をクリックします。図4は、Windows7での表示例です。
図4 Windows7のコントロールパネル
<Windows 8/8.1では>
(1) スタート画面から[デスクトップ]を選択し、デスクトップ画面を表示します。
(2) 画面の右上隅にマウスポインターを合わせ(タッチパネルの場合は画面の右端からスワイプ)、チャームの[設定]を選択します。
図5 デスクトップ画面を表示
(3) [コントロールパネル]を選択します。
図6 [コントロールパネル]を選択(Windows 8/8.1)
Windows 8.1の場合には、デスクトップ画面で[スタート]ボタンを右クリックして開いたメニューから、[コントロールパネル]を選択することもできます。
図7 [コントロールパネル]を選択(Windows 8.1)
【コントロールパネルの表示を切り替える】
<Windows Vistaでは>
初期設定では、いくつかのカテゴリに分類したカテゴリ別の表示になっています。クラシック表示に切り替えたり、カテゴリ別表示に戻したりしてみましょう。
[クラシック表示]をクリックするとアイコン表示に、[コントロールパネルホーム]をクリックするとカテゴリ表示に戻ります。
図8 Windows Vistaの表示
<Windows 7/8/8.1>
初期設定では、コントロールパネルはカテゴリ別の表示になっています。[表示方法]で[大きいアイコン]を選択して表示を切り替えたり、[カテゴリ]を選択して元に戻したりしてみましょう。
図9 Windows 7/8/8.1の表示
【コントロールパネルの検索】
Windows 8/7/Vistaでは、コントロールパネルの右上にある検索ボックスに名前を入力すると、目的のものを素早く探し出すことができます。このトピックスで扱うコントロールパネルを使用するプラグインは、「Flash Player」「Java」で検索できます。最初の1文字を入力するだけで、すぐに見つかるでしょう(図10)
図10 コントロールパネルの検索
■ 「Adobe Reader」を最新版(Adobe Reader XI 11.0.07/X 10.1.4)に
Adobe Readerは、アドビシステムズが開発した、PDF(Portable Document Format)と呼ばれる形式の文書ファイルを閲覧するためのソフトウェアです。閲覧ソフト自体は、単体で使用できるアプリケーションですが、ブラウザ用のプラグインも一緒にインストールされ、ネット上のPDFファイルをブラウザ内でシームレスに表示することができます。PDFファイルは、文書の配布に広く用いられており、多くのパソコンに最初からインストールされています。
インストール済みの場合には、Windows 7/Vistaでは、[スタート]→[すべてのプログラム]に[Adobe Reader]の項目があります。Windows 8では、スタート画面やデスクトップ画面に[Adobe Reader]アイコンがあります。
【注】FirefoxとGoogle Chromeは、PDFの表示にディフォルトで内蔵のビューアを使用します。Adobe Readerなどのプラグインは、この内臓のPDFビューアを無効にした場合に利用できるようになります。
●使用しているバージョンの確認
現在使用しているAdobe Readerのバージョンは、Adobe Readerを起動すると確認できます。デスクトップの[Adobe Reader]アイコンや、Windows 8のスタート画面の[Adobe Reader]、Windows 7/Vistaで[スタート]→[すべてのプログラム]→[Adobe Reader]の順に選択し、Adobe Readerを起動します。[ヘルプ]メニューの[Adobe Reader について]を選択すると、バージョンが確認できます(図11)。
図11 起動するとバージョンを確認できる
バージョン9までは、すでにサポートが終了しており、サポート中のAdobe Readerは、X(最新版:10.1.10)とXI(最新版:11.0.07)が提供されています。新規にインストールされる方は、下記のダウンロードページからダウンロードしてください。ダウンロードページでは、アクセスした環境に合ったAdobe Readerの最上位版が自動的に選択されます。Windows 7/8ではXIが選択されますが、XIが利用できないWindows Vistaの場合には、Xが選択されます。[オプションのプログラム]欄のチェックを外して選択を解除し、[いますぐインストール]をクリックすると、インストーラーのダウンロードが始まります。
・Adobe Readerのダウンロードページ(アドビシステムズ)
http://get.adobe.com/jp/reader/
新しいAdobe Readerをインストールすると、旧バージョンは自動的に削除されますが、インストーラーが古いバージョンを削除できないことがあります。手動でのアンインストール方法については、アドビシステムズの下記ページをご覧ください。
・アンインストール手順(アドビシステムズ)
http://kb2.adobe.com/jp/cps/831/8316.html
●最新版へのアップデート
最新版へのアップデートは、Adobe Readerを起動し、[ヘルプ]→[アップデートの有無をチェック]の順に選択します。Adobe Reader Updaterが起動し、自動的にチェックが始まります(図12)。
図12 アップデートの有無を自動的にチェック
「利用可能なアップデートがあります」と表示されたら、[ダウンロード]ボタンを押してダウンロードします(図13)。
図13 [ダウンロード]ボタンを押す
「アップデートのインストール準備ができました」と表示されたら、[インストール]ボタンを押してインストールを開始します(図14)。
図14 [インストール]ボタンを押す
●自動更新の設定
Adobe Readerには、アップデートの有無を自動的に確認し、ダウンロードやインストールを行う機能があります。この機能は無効にすることもできますが、活用してAdobe Readerを常に最新の状態で使用しましょう。現在の設定状況は、Adobe Readerの環境設定で確認できます。Adobe Reader を起動して、[編集]→[環境設定]の順に選択し、分類セクションで[アップデーター]を選択します。[自動的にアップデートをインストールする]を選択すると、インストールまで自動的に行われます(図15)。
図15 [自動的にアップデートをインストールする]を選択
Adobe Readerを適切に設定しておくと、悪質なPDFファイルを使用した攻撃を緩和し、より安全に利用することができます。Adobe Readerを起動し、[編集]→[環境設定]の順に選択し、以下の設定の確認/変更を行うことをお勧めします。
(1)保護モードの有効化
Adobe Reader Xは、分類セクションの[一般]を、Adobe Reader XIは[セキュリティ(拡張)]を選択し、[起動時に保護モードを有効にする]をチェックします(図15)。 保護モードは、の初期設定で有効になっており、ファイルの書き込みやプログラムの起動などが制限された環境でPDFファイルを開きます。未修整の脆弱性が悪用された場合でも、保護モードであれば攻撃を回避できることがあります。
図16 [起動時に保護モードを有効にする]をチェック
(2)保護されたビューの有効化(Adobe Reader XIのみ)
分類セクションの「セキュリティ(拡張)」を選択し、[保護されたビュー]を初期設定の[オフ]以外に設定すると、保護されたビューが有効化されます(図17)。保護されたビューでは、次項のJavaScriptをはじめとするAdobe Readerのほとんどの機能が無効化され、PDFファイルをより安全に閲覧することができます。
図17 [保護されたビュー]を有効に
PDFファイルを保護されたビューで開くと、図18のような警告バーを表示し、機能が制限されていることを知らせます。[全ての機能を有効にする]をクリックすると、現在開いているファイルの機能制限を解除します。
図18 PDFファイルに警告バーが表示される
(3)JavaScriptの無効化
分類セクションの[JavaScript]を選択し、[Acrobat JavaScriptを使用]のチェックをはずします(図19)。Adobe Readerの脆弱性攻撃では、Adobe ReaderがサポートしているJavaScript(ジャバスクリプト)という言語を使用し、実行する不正なコードをメモリー上に配置する手法がよく使われます。この手法を用いた脆弱性攻撃は、JavaScriptを無効にしておけば防ぐことができます。
図19 [Acrobat JavaScriptを使用]のチェックをはずす
(4)マルチメディアプレーヤーの無効化
分類セクションの[マルチメディアの信頼性(従来形式)]を選択し、[マルチメディア操作を許可]のチェックを外す(無効化)。または、[選択したマルチメディアプレーヤーを実行する権限]で[確認する]に設定します(図20)。
PDFには、ビデオやオーディオなどのマルチメディアコンテンツを埋め込むことができます。再生には、Flash Playerや他のマルチメディアプレーヤーが使われますが、これらマルチメディアプレーヤーの脆弱性を攻撃するために、PDFファイルが悪用されることがあります。マルチメディアプレーヤーを無効化しておくと、悪用を防ぐことができます。
図20 マルチメディアプレーヤーを無効化する
■「Adobe Flash Player」を最新版(14.0.0.125)に
Adobe Flash Playerは、アドビシステムズに吸収されたマクロメディアが開発した、Flashで作成されたマルチメディアコンテンツを再生するソフトウェアです。Flashのコンテンツは、Webサイトで広く使われているため、最初からインストールされている家庭向けパソコンも多くあります。
バージョン12までは、すでにサポートを終了し、現在はバージョン13(最新版:13.0.0.223)とバージョン14(最新版:14.0.0.125)が提供されています。
ブラウザが使用するFlash Playerには、Internet Explorer用のActiveX(アクティブエックス)コントロール版と、Internet Explorer以外のブラウザ用のプラグイン版、Windows 8/8.1上のInternet Explorer 10/11に搭載されている専用版、Google Chromeに搭載されている専用版があります。Windows 8/8.1上のInternet Explorer版は、Windows Update経由で更新されます。Google Chrome版は、Google Chromeのアップデート時に最新版に自動更新されます。その他の最新版は、下記のダウンロードページで無料入手できます。
・Flash Playerのダウンロードページ
http://get.adobe.com/jp/flashplayer/
複数のブラウザを利用している場合は、全てのブラウザでアップデートを行わないと、古いバージョンが残ってしまうことがあるのでご注意ください。ActiveXコントロール版は、Internet Explorerだけでなく、Microsoft Officeなどからも利用できるので特に注意が必要です。Wordの文書ファイルにFlashコンテンツを埋め込むと、Word経由で攻撃することもできるので、Internet Explorerを使用しているかどうかに関わらず、ActiveXコントロール版は常に最新の状態に保つか、不要ならば削除してください。
Flash Playerのインストール状況は、Windows 8はコントロールパネルの「プログラムと機能」で、Windows 7/Vistaは、コントロールパネルの[プログラムのアンインストール]で確認できます。図21の一覧に表示されている「Adobe Flash Player」の「Active X」がActiveXコントロール版、「Plugin」がプラグイン版です。
図21 インストール状況の確認
●使用しているバージョンの確認
現在使用しているFlash Playerのバージョンは、コントロールパネルの「Flash Player 設定マネージャ」、または下記の「Flash Playerのバージョンテスト」ページで確認できます。
・Flash Playerのバージョンテストページ(アドビ)
http://www.adobe.com/jp/software/flash/about/
「コントロールパネル」を開いて[Flash Player]をクリックすると、「Flash Player 設定マネージャ」が開きます。[高度な設定]タブに、インストール済みのバージョンが表示されます。[今すぐチェック]ボタンを押すと、先の「Flash Playerのバージョンテスト」ページをディフォルトブラウザを使って開きます。
図22 Flash Player 設定マネージャ
●最新版へのアップデート
「Flash Playerのダウンロードページ」や「Flash Playerのバージョンテスト」ページには、最新版のバージョン情報が掲載されています。インストールされているバージョンが古い場合には、「Flash Playerのダウンロードページ」で最新版に更新しましょう(図23)。
図23 Flash Playerのダウンロードページ
ダウンロードページの[オプションのプログラム]欄のチェックを外して選択を解除し、[いますぐインストール]をクリックすると、インストーラーのダウンロードが始まります。
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/
「Flash Playerのダウンロードページ」では、バージョン14の最新版が提供されています。何らかの事情でバージョン13を使い続けなければならない場合には、次の「アーカイブページ」で、バージョン13の最新版が入手できます。
・Flash Playerのアーカイブ(アドビ)
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html
●自動更新の設定
Flash Playerには、最新版へのアップデートを自動的に行う機能を備えています。自動更新の適用方法は、インストール時に指定できるようになっており、初期設定では「新しいアップデートがリリースされたら自動的にインストールする」が選択されています(図24)。そのままインストールを進め、Flash Playerを常に最新の状態で利用できるようにしましょう。
図24 インストール時の設定
インストール後の設定変更は、「Flash Player 設定マネージャー」の「高度な設定」タブにある[更新]で行うことができます。設定の変更には管理者権限が必要なので、通常はグレーアウトして選択できません(図25)。[アップデート設定を変更]ボタンを押してユーザーアカウント制御の許可や管理者のアカウントを入力すると、選択項目が変更できるようになります(図26)。
図25 設定マネージャーでの設定(変更不可)
図26 設定マネージャーでの設定(変更可)
■ 「JRE」を(最新版:Version 7 Update 60 [1.7.0_60])に
JREは、オラクルに吸収されたサンマイクロシステムズが開発したプログラミング言語、Java(ジャバ)で書かれたプログラムを実行するために必要なソフトウェアです。ブラウザのJavaScriptと名前が似ていますが別のもので、ブラウザ内で動くアプリケーション(アプレット)と、単体で動く通常のアプリケーションの両方を作成できます。開発環境も実行環境も無料で配布されており、実行環境のJREは、多くのパソコンにインストールされています。
バージョン6までは、すでに無償サポートを終了しており、現在はバージョン7(最新版:Update 60(1.7.0_60))が提供されています。
・JREのダウンロードページ(オラクル)
http://java.com/ja/download/
新しいJREをインストールすると、古いバージョンが削除されずに残ることがあります。システムに複数インストールされている場合には、使用しない旧バージョンをすべてアンインストールしておくことをお勧めします。アンインストールの方法については、オラクルの下記ページをご覧ください。
・アンインストール手順(オラクル)
http://java.com/ja/download/help/uninstall_java.xml
●使用しているバージョンの確認
下記の「Javaソフトウェアのインストール状況の確認」ページを開き、[Javaのバージョン確認]のボタンを押します(図27)。
・Java ソフトウェアのインストール状況の確認(オラクル)
http://java.com/ja/download/installed.jsp
図27 Javaのバージョン確認ページ
Javaの実行にユーザーの許可を必要とするブラウザの場合には、確認を求めて来るので実行を許可します(図28の左上)。さらにJREも、実行の確認を求めて来ます(図28の右下)。
図28 Javaの実行許可
最新版がインストールされている場合には、「Javaのバージョンを確認しました。正常な設定です」と表示されます(図29)。
図29 最新版インストール時の表示
インストールされているJREが最新版でないときには、このような表示になります(図30)。[今すぐJavaをダウンロード]ボタンを押せば、ダウンロードページでバージョン7の最新版が入手できます。
図30 最新版でないときの表示
JREがインストールされていない場合には、しばらくしてからこのような表示になります(図31)。そのままページを閉じてください。
図31 JREがインストールされていない場合
●最新版へのアップデート
JREのバージョン確認とアップデートは、先のインストール状況の確認ページのほかに、パソコンの「Javaコントロール・パネル」で行うこともできます。 「コントロールパネル」を開いて[Java]をクリックすると、「Javaコントロール・パネル」が開きます。[Java]タブの[表示]ボタンを押すと、インストールされているJREのバージョンが確認できます(図32)。
図32 「Javaコントロール・パネル」でバージョン確認
[更新]タブの[今すぐ更新]ボタンを押すと、Java Updateが自動的にチェックを始めます。「アップデート利用可能」と表示されたら、[インストール]ボタンを押して画面の指示に従うと、最新版にアップデートできます(図33)。
図33 「アップデート利用可能」表示で[インストール]を
●自動更新の設定
JREには、アップデートの有無を自動的に確認し、ダウンロードする機能があります。この機能は無効にすることもできますが、活用してJREを常に最新の状態で使用しましょう。現在の設定状況は、「Javaコントロール・パネル」の[更新]タブで確認できます。[アップデートを自動的にチェック]がチェックされていると、スケジュールされた間隔で自動確認が行われ、[通知]の設定にしたがって、ダウンロード前やインストール前に通知されます(図34)。
図34 [更新を自動的にチェック]をチェック
[詳細]ボタンを押すと、更新確認を行う頻度を変更できます(図35)。頻度の変更には管理者レベルのアクセス許可が必要なのですが、現バージョンには、管理者で実行する機能がないため、設定を変更しても保存されず効果がありません。
「Javaコントロール・パネル」を管理者として実行(コントロールパネルからではなく「javacpl.exe」を管理者として実行する)すると、自動更新の詳細設定が適用できますが、アップデートのたびにリセットされるため再設定が必要です。
図35 更新確認を行う頻度を変更
JRE 7には、Javaの安全性を高めるセキュリティ機能が用意されています。「Javaコントロール・パネル」の[セキュリティ]タブを開き(図36)、より安全性の高い設定にしておきましょう。
図36 セキュリティレベルを高い設定に
(1)ブラウザのJavaを無効に
[ブラウザでJavaコンテンツを有効にする]のチェックボックスがチェックされていると(初期設定)、ブラウザ上でJavaアプレットやJava Web Startアプリケーションを実行します。チェックボックスのチェックを外し[適用]ボタンを押すと、Webブラウザのプラグインがアンインストールされ、アプレットやアプリケーションは、Webブラウザ上で実行できなくなります。 ローカルのJavaアプリケーションしか使わない方や、ブラウザ上でJavaを利用する頻度の低い方は、チェックボックスのチェックを外し、無効化しておくことをお勧めします。無効化しておくと、サイトの閲覧中にブラウザ経由の脆弱性攻撃を受けることがなくなります。
(2)セキュリティ・レベルを高く
[セキュリティ・レベル]の設定は、[ブラウザでJavaコンテンツを有効にする]を有効にした場合の、未署名のアプレットやアプリケーション、ローカルに保存されたアプレットを、Webブラウザ上で実行する際の「ふるまい」を設定します。4段階の各レベルでのふるまいは、次表の通りです。
デフォルト設定の[高]または、[非常に高]でお使いください。
(3)セキュリティ・プロンプトの復元
ブラウザからJavaアプレットを実行する際には、ユーザーに実行確認を求める「セキュリティ・プロンプト」が表示されることがあります(図37)。
図37 実行確認を求める「セキュリティ・プロンプト」の表示
この時、「次回から表示しない」をチェックして実行を許可すると、その後は、そのアプレットを確認なしで実行するようになります。
[セキュリティ・プロンプトの復元]ボタンは、この確認なしで実行するようにした許可を取り消します。このボタンをクリックし、[すべて復元]をクリックすると、確認なしで実行していたアプレットが、再び確認を求めて来るようになります。
(執筆:現代フォーラム/鈴木)