Windowsの更新プログラムは機能追加のための役割としてだけでなく、セキュリティの「脆弱性」を解消する上でも欠かせない。しかし、時間を要するなどといった理由で、先延ばしにしたこともあるかもしれない。この記事ではWindowsの更新プログラムとは何か、更新しないことのリスクなどについて解説する。
Windowsの更新プログラムとは
Windowsの更新プログラムとは、端的に言えば新しい機能追加や、既にインストールされているプログラムの修正のために提供される追加プログラムのことだ。Windowsの使い勝手の改善、新しい機能を付加するといった観点以外に、セキュリティレベルを維持するために脆弱性を解消する更新なども含まれる。更新プログラムは大きく分けると、「機能更新プログラム」と「品質更新プログラム」の2つがある。
1)機能更新プログラム
基本的に年に2回リリースされる、大規模な更新プログラムのこと。新機能の追加や修正プログラム、セキュリティ更新プログラムが含まれる。
2)品質更新プログラム
この更新プログラムは月に1回以上の頻度で提供される。修正プログラムとセキュリティ更新プログラムが主体だ。緊急性の高い脆弱性の解消を目的に提供される「セキュリティパッチ」なども含まれる。
基本的には、対象となる更新プログラムが自動的にインストールされる。
しかしながら、パソコンをシャットダウンする際に時間がかかってしまうなどの理由で、更新処理を一時的に止めたり、自動更新をオフにしたりするユーザーも少なからず存在する。Windowsの更新プログラムを行わないことは、パソコンの利用に際して大きなセキュリティリスクを抱えることになるため、注意が必要だ。
Windowsの更新プログラムを適用しないリスク
Windowsの更新プログラムを適用しない場合、どのようなリスクが生じるのだろうか。具体的に、パソコンは以下のようなリスクを抱え続けることになる。
1)脆弱性が放置されてしまう
ソフトウェアは入念にバグチェックを行い開発したとしても、リリース時点で何かしら不具合を抱えてリリースされることも少なくない。また、プログラムには脆弱性がつきものであり、Windowsも例外ではない。発見された脆弱性は更新プログラムによって修正されるが、更新を停止すると脆弱性も放置されることになる。サイバー攻撃者は脆弱性を常に狙っているため、脆弱性が放置された端末は格好のターゲットになり得る。
2)Windowsのサポートが終了する可能性がある
Windowsの各バージョンはサポート終了の期限が設定されており、マイクロソフト社がサポート期間として設定する「モダン ライフサイクル」は2年間となっている。例えば、「Windows 10 Home and Pro」の「バージョン 21H2」は、サポート終了日が2023年6月13日に設定されている。
サポートが終了したWindowsは原則として更新プログラムが配信されない。つまり、脆弱性が永続的に修正されなくなるため、サイバー攻撃に遭うリスクが極めて高くなってしまうのだ。
3)セキュリティ機能が古いままになってしまう
Windowsには「Windows Defender ウイルス対策」という機能が標準で搭載されている。Windowsの更新プログラムと連携することで、ウイルス定義ファイルをアップデートすることが可能だ。更新プログラムを止めてしまうことは、ウイルス定義ファイルをはじめ、最新のセキュリティ機能が担保されないことを意味する。
コロナ禍で高まるセキュリティリスク
テクノロジーの進化をはじめ、コロナ禍を受けたリモートワークの普及などを背景に、かつてなくセキュリティリスクは高まっている。具体的には、以下のような事象が現状の危険性を示していると言える。
1)インシデントの報告数が倍増
JPCERTが2022年4月に発表した「インシデント報告レポート」によると、インシデント報告件数は2019年の20,147件に対し、2021年は50,801件と約2.5倍に増加している。フィッシングサイト関連のインシデントが大半ながら、「スキャン」がそれに続いている。スキャン(またはポートスキャン)とは、攻撃者が脆弱性を探す行為をはじめ、侵入やマルウェア感染を試行する行為を指す。
サイバー攻撃者は、システムに侵入する際にターゲットの弱点、すなわち脆弱性を手掛かりにする。仮にWindowsの脆弱性が放置されていた場合、マルウェア感染や不正アクセス、ひいてはランサムウェア感染などのリスクにつながりかねない。
2)次々と生まれる新種のマルウェア
近年ではテクノロジーの進化を背景に、新しいマルウェアが次々と開発されている。その開発サイクルは凄まじく、年間1億種類以上の新種が開発されているとの報告もある。更新プログラムを一時的にでも止めてしまうことで、新種のマルウェアに対処できなくなる可能性があるのだ。
3)悪用されるWindowsの脆弱性
近年猛威を振るっているマルウェアである「Emotet」も、Windowsの脆弱性を悪用したことで知られている。IPAによると、Emotetの相談件数は2022年1月~3月期で656件と、前四半期の12件から54.7倍に急増している。なお、Emotetが悪用した脆弱性の更新プログラムはすでに提供されている。
Emotetは非常に感染力の高いマルウェアだ。2021年に欧州刑事警察機構(Europol)によって鎮静化されたが、2021年11月から活動を再開している。特に、日本国内においては企業が攻撃対象になることが多く、なかでも中小企業の割合が多い。企業規模に関わらず感染の危険性があるため、細心の注意が必要だ。
Windowsの脆弱性によるインシデント事例
Windowsの脆弱性に起因するインシデント事例を以下に2つ紹介する。
1)脆弱性「BlueKeep」に対応すべく緊急アップデートを配布
2019年6月に「Windows 7」、「Windows Server 2008」における脆弱性が発覚した。この脆弱性は「BlueKeep」とも呼ばれ、ワーム(マルウェアの一種)が侵入し、リモートコードが実行されることにより、マルウェアが拡散されるリスクがあった。
発見当時、この脆弱性が「修正されていない端末」が約95万台あるとされた。影響範囲の大きさから、米国家安全保障局(NSA)が注意喚起を行い、マイクロソフト社では既にサポートが終了していた「Windows XP」、「Windows Server 2003」などのOSについても、更新プログラムをリリースするなどの対応を行った。
2)ゼロデイ脆弱性でランサムウェアなどの被害
2021年9月、マイクロソフト社はWindowsのゼロデイ脆弱性を修正した更新プログラムを提供。ゼロデイ脆弱性とは、更新プログラムが提供される前の脆弱性である。このゼロデイ脆弱性を悪用した攻撃を「ゼロデイ攻撃」と呼び、回避することが難しいため、リスクが極めて高くなる。Windowsに標準搭載されるWebブラウザーのレンダリングエンジンに起因する脆弱性で、不正なOfficeファイルを開くとリモートでコードを実行されるリスクがあった。同脆弱性は、標的型攻撃やランサムウェア攻撃などに悪用された。
更新プログラムは後回しにせず、速やかな適用を
先述した2つのインシデントの事例からも明らかなように、Windowsの更新プログラムを適用しないことは、重大なセキュリティリスクに直結し得る。実際、紹介した事例以外にも多くのセキュリティインシデントが過去に生じている。
更新プログラムの適用について、シャットダウンに時間がかかるから適用しない、あるいは端末の動作が遅くなるなどの理由で後回しにしてしまう心理は理解できなくもない。大事な用事のある日に急いで退勤したいといった場合もあるだろう。しかし、そのわずかの手間を惜しんだことでマルウェア感染に至り、大きな損害につながる可能性もあるのだ。そうした損害を防ぐためにも、更新プログラムは速やかに適用し、安全性を維持するようにしてほしい。