暮れも押し迫り、セキュリティアップデートもそろそろ、年内の新規公開は終了した感じだ。脆弱性攻撃の標的にされることの多い、Windowsと3つのプラグインについて、今年1年間のアップデート状況を振り返ってみたい。
パソコンのOSやアプリケーションに、外部からの侵入を許してしまうようなセキュリティ上の問題が見つかると、それを修正するプログラムが配布される。これがセキュリティアップデートだ。問題を修正せずに放置しておくと、ウイルスに感染しやすい危険な状態のまま、パソコンを使い続けることになってしまう。今年も多数のアップデートが行われているので、アップデートを怠っている方や、しばらく使用していない実家のパソコンなどを使用する場合には、必ずアップデートを実施していただきたい。
■マイクロソフト
マイクロソフトの製品の中でも特に、Windows、Internet Explorer、Office製品の脆弱性は、悪用されることが多い。
同社では、月の第二水曜日に定期的なアップデートを行っている。今年は、定例外に行われた2回を含め、計85件のセキュリティ更新プログラム(パッチ)が公開された。パッチ数は、昨年の106件から減少しているが、これらによって修正された脆弱性の総数は、昨年の310件を上回る341件と、過去最多を記録している。
修正された脆弱性の中には、パッチが公開される前に悪用が確認された、いわゆるゼロデイ攻撃に悪用されたものもあり、5月に定例外で公開したInternet Explorerの緊急パッチを含む計18件(脆弱性数:20件)が、ゼロデイ攻撃に対処するためのものだった。悪用攻撃は、すべて限定的な標的型攻撃だったというが、2012年7件、2013年11件と増加の傾向にある。
■アドビシステムズ:「Adobe Flash Player」と「Adobe Reader」
アドビシステムズの製品の中では、マルチメディアコンテンツの再生ソフト「Adobe Flash Player」と、PDF(Portable Document Format)と呼ばれる形式の文書ファイルを閲覧するための「Adobe Reader」の2つが、脆弱性攻撃に悪用されることが多い。広く普及している点と、Webブラウザーの一部として動作するため、細工したWebサイトに誘導するだけで攻撃できるという点が、好んで悪用される要因だ。
アドビシステムズでは、マイクロソフトと同様、月の第二水曜日に定期的なアップデートを行っている。「Adobe Flash Player」は今年、定例外を含む計15件のアップデートが行われ、77件の脆弱性が修正された。昨年のアップデート12件、脆弱性数59件をともに上回っており、ゼロデイ攻撃への対処も、昨年の3回から4回に増えた。
「Adobe Reader」の今年のアップデートは、昨年と同じ5回。修正された脆弱性数は、昨年の67件から43件に減っており、昨年1件あったゼロデイ攻撃への対処は、今年はなかった。
■オラクル:「JRE(Java Runtime Environment:Java実行環境)」
オラクルが開発しているプログラミング言語Java(ジャバ)は、パソコンや携帯端末、組み込みシステムなどで広く使われている。このJavaで書かれたプログラムをパソコン上で実行するために必要な「JRE(Java Runtime Environment:Java実行環境)」もまた、脆弱性攻撃の標的にされることが多い。インストールされていることが多く、Webブラウザーと連携して動作するからだ。
オラクルは四半期ごと(1、4、7、10月)に定例のセキュリティアップデートを行っている。今年は、この定例のアップデートのみで、計118件の脆弱性を修正した。昨年は、ゼロデイ攻撃への対処3件を含む7件のアップデートで、計178件の脆弱性が修正されている。
なお、現在は一般向けの「JRE 7」と、開発者向けの「JRE 8」が公開されているが、来月の定例アップデート以降に、7から8への移行期間が始まる。2015年4月以降、「JRE 7」はアップデートされなくなるので注意していただきたい。
(2014/12/26 ネットセキュリティニュース)
【関連URL】
・2014 年マイクロソフトのセキュリティ情報まとめ(日本のセキュリティチーム)
http://blogs.technet.com/b/jpsecurity/archive/2014/12/18/2014-bulletin-summary.aspx
・Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html