パソコンOSのアップデートは重要なものと認識しているのに、スマートフォンのOSについては無頓着という方が少なくないようです。日々めまぐるしく進化するサイバー攻撃からあなたのスマートフォンを守るには、怪しいアプリに注意するだけでは不十分で、OSのアップデートが不可欠です。今回は、その重要性と実施する方法、注意点について解説します。
<INDEX>
■通知アイコンはうっとおしい?
■OSをアップデートしないと高まる攻撃リスク
■不正アプリ対策だけで十分か?
■アップデートの方法
■アップデート情報・手順は公式サイトで確認を
■アップデートの注意点
<以下本文>
スマートフォンやタブレットを使っていると、「設定」アイコンに通知メッセージありを意味する赤丸の数字が表示されることがある(iOSの場合)。機種によっては画面上、またはホーム画面にも、システムからの通知メッセージ(アップデートのお知らせ、未読メール、バッテリー残量など)が表示されていることがある。
なかには、通知は必要ないという人もいるし、単純に「うっとおしい」という人もいる。あるいは、通知の意味がよくわからないという人もいるだろう。未読メッセージや、アプリごとのアップデートのお知らせなどは、そのアプリをよく使う人ならあまり必要ないかもしれない。システム側の丁寧すぎる通知は、非表示にしたいだろう。そのためネット上を検索すると、さまざまな通知表示をオフにする方法がヒットする。
しかし、システムからの通知のうち、OSのアップデートに関するものは多くの人に重要な情報であり、本来無視してはいけないものだ。そのためiOS、Androidとも、アップデート通知の非表示は基本的にできないようになっている。
図1 システムアップデートを知らせるiOSのアイコンバッチ(左)と通知(中)、Androidの通知(右)
古い機種などを使っていると、動作が遅くなる、アプリが動かなくなるなどの理由で、OSアップデートをしたくない場合があるが、それでもOSアップデートは原則として行うべきものだ。理由は、OSのアップデートには、新機能の追加や機能の改善だけでなく、重要なセキュリティ対策が含まれているからだ。
サイバー攻撃は日々進化しており、新しいマルウェア(ウイルス)も増え続けている。ソフトウェアのバグやセキュリティホール(セキュリティ上の問題を引き起こす欠陥。脆弱性ともいう)も発見される。現在のソフトウェアは、OSだろうがアプリだろうが定期的なセキュリティアップデートを拒否するにはそれなりの覚悟が必要だ。
スマートフォンやタブレットのOSの代表格は、iOSとAndroidだ。これらのOSに被害を及ぼすマルウェアのほとんどが、攻撃目的で作られた不正アプリだ。そのため不審なアプリをダウンロードしなければ大丈夫、あるいは公式のアプリストアならばアプリの審査があるので大丈夫と、OSのアップデートは必要ないと思っている人がいるかもしれない。
実際、質問サイトには「OSをアップデートしなくても全く問題ない」といった回答もよく投稿される。スマートフォンの場合、アプリに注意を払うだけで、多くの脅威を防ぐことができるのは事実だし、有効な対策のひとつである。しかし、OSそのものに脆弱性が存在するのも事実であり、それを無くすことにより、サイトの閲覧中などに知らない間に感染してしまう被害を止めることができる。不正アプリ対策をしているから大丈夫、OSのアップデートは不要ということにはならないのだ。
<Android OSの脆弱性>
例えば2015年8月には、Android端末のメディア再生機能に脆弱性(CVE-2016-3819)が発見された。修正しないまま使っていると、メディアファイルあるいはWeb閲覧等で不正プログラムを実行されてしまう危険がある。2016年2月には、Android OSの管理者権限を奪取できる脆弱性(CVE-2015-1805)を攻撃するツールが発見され、脆弱性を悪用するアプリも確認されている。AndroidのベースとなるLinux OSの脆弱性に関連したものだが、Android バージョン6.0より前の端末はすべて攻撃対象となる。
<iOSの脆弱性>
iOSにも同様な脆弱性が発見され、Appleによってアップデートが公開されている。2016年8月に公開されたiOS 9.3.5は、不正コードが実行されてしまう脆弱性など、重要な問題が3点更新されている。このアップデートを放置すると、細工されたサイトを閲覧するだけでマルウェアに感染し、システムを乗っ取られてしまう危険性がある。
iOS端末や標準設定のAndroid端末は、公式アプリストアで配布されているアプリ以外はインストールできないようになっている。ところがある種の脆弱性を悪用すると、こうした制限を無視し、外部からマルウェアを送り込めるようになってしまう。これが、安全性を損なう欠陥の怖いところであり、セキュリティアップデートが重要な理由だ。
公式ストアのアプリからも、しばしば不正なアプリが発見される。比較的審査が厳しいといわれているアップルも例外ではない。2015年9月、同社の公式ストアで配布されていた一部のアプリに、マルウェアが混入していることがわかった。「XcodeGhost」と名付けられたこのマルウェアは、アップルの開発ツール「Xcode」で作られたもの。アプリ自体が悪意を持って作られたわけではなく、悪質なコードに汚染された「Xcode」で開発したため、作成されたアプリに汚染が広がる結果となった。
このマルウェアは、システムを乗っ取るような深刻なものではなかったが、情報漏えいや特定のURLへの誘導、プッシュ通知といった機能が備わっており、悪用されるおそれがあった。問題のあったアプリは、その後に問題を解消した最新版が配布されており、アプリの削除やアップデートで、マルウェアを端末から排除できた。システムと同様、アプリのアップデートも重要だ。
スマートフォンの機能や操作方法は、メーカーや機種、OSのバージョンによって微妙に異なるが、システムのアップデート方法は、比較的シンプルで機種ごとの差がなく実行できる。
iOS端末は、設定アイコンから[一般] →[ソフトウェアアップデート]と進むと、いつでもアップデートの確認と実行が行える。
Android端末は、[ソフトウェア更新]や[システム更新]、[ソフトウェアアップデート]、[システムアップデート]などの名称のメニュー、またはアイコンからアップデートの確認と実行が行える。メニューの場合は、[設定]の直下や [端末情報]、[タブレット情報]、[その他]、[更新センター]などの項目の中にある。
図2 「Androidセキュリティパッチレベル 2016-09-01」の脆弱性情報(注1)
「Androidセキュリティパッチレベル」は、Android 5.xの一部と6.x以降で行われているセキュリティアップデートの、適用状況を示す日付。
iOSの場合、OSを含めiPhoneやiPadは、アップルが開発・製造しており、セキュリティアップデートはアップルが統一的に行い、必要に応じてキャリアからのアップデートがこれに加わる。
アップル以外の各社が採用しているAndroidの場合、OSはGoogleが開発と配布を行い、これを世界中の端末メーカーが自社製品に組み込む形をとっている。アップデートは、メーカーやキャリアがそれぞれ独自に行うため、時期やアップデート状況は各社各様。中には、アップデートが提供されないものも存在する。
以下にセキュリティアップデートの参考になるURLをリストした。アップデート方法がよくわからない場合は、メーカーやキャリアのサポートサイトや窓口を利用すると、機種やバージョンごとの詳細な情報が得られるかもしれない。
<各社の情報>
・iOSのセキュリティアップデート(アップル)
https://support.apple.com/ja-jp/HT204204
・製品アップデート情報(NTTドコモ)
https://www.nttdocomo.co.jp/support/utilization/product_update/
・製品アップデート情報(au)
http://www.au.kddi.com/information/notice_mobile/update/
・ソフトウェアサポート(ソフトバンク)
http://www.softbank.jp/mobile/info/personal/software/
・バージョンアップ情報(Y!mobile)
http://www.ymobile.jp/support/product/update/
上記URLを見ると、Androidはメーカーや機種に依存するように見えるが、項目名やメニューの位置がやや異なるだけで、実際の手順はほとんど変わらない。
前記の参考サイトでも述べられていることだが、アップデートには時間がかかるため、バッテリーの残量や通信環境には注意が必要だ。基本は自宅などでACアダプタをつないだ状態で、Wi-Fi接続した状態で行う。iOS端末の場合は、Wi-Fi接続か、iTunesをインストールしたパソコンが必要なので注意していただきたい。
OSアップデートの通信料は、無料の場合もあるが、アップデートファイルのダウンロードに通信料が発生する機種も存在する(注2)。そして、なにより注意しなければならないのは、アップデート情報は必ず、端末本体の通知やアップデートのメニュー、で確認すること。間違ってもアプリ画面、アプリ画面の広告エリア、ブラウザの画面に表示されるメッセージを信用しないことが重要だ。これらはすべてアプリへの誘導、攻撃サイトへの誘導と思ってよい。
(執筆:現代フォーラム/中尾)
<注1>
・「Androidセキュリティパッチレベル 2016-09-01」の脆弱性情報
https://source.android.com/security/bulletin/index.html
<注2>
・ソフトウェア更新とは(NTTdocomo)
https://www.nttdocomo.co.jp/support/utilization/product_update/about01/index.html