Windowsの更新を行わないことで発生する可能性のあるリスクとは?
Windowsの更新プログラムは、新しい機能の追加だけでなく、セキュリティ上の「脆弱性」を解消するためにも重要です。しかし、時間がかかるなどの理由で更新を後回しにした経験があるかもしれません。本記事では、Windowsの更新プログラムの概要や、更新を怠ることによるリスクについて解説します。
Windowsの更新プログラムとは
Windowsの更新プログラムとは、新機能の追加や、既存のプログラムの修正を目的とした追加プログラムを指します。使い勝手を向上させたり新たな機能を提供したりするだけでなく、セキュリティを保つために脆弱性を修正する更新も含まれます。更新プログラムは主に「機能更新プログラム」と「品質更新プログラム」の2種類に分類されます。
1)機能更新プログラム
Windowsの更新プログラムとは、新機能の追加や、既存のプログラムの修正を目的とした追加プログラムを指します。使い勝手を向上させたり新たな機能を提供したりするだけでなく、セキュリティを保つために脆弱性を修正する更新も含まれます。更新プログラムは主に「機能更新プログラム」と「品質更新プログラム」の2種類に分類されます。
2)品質更新プログラム
この更新プログラムは月に1回以上の頻度で提供され、主に修正プログラムやセキュリティ更新が中心となっています。緊急性の高い脆弱性を修正する「セキュリティパッチ」も含まれます。通常、これらの更新は自動的にインストールされますが、シャットダウン時に時間がかかることなどから、更新処理を一時停止したり自動更新を無効にしたりするユーザーもいます。ただし、更新を行わないことはセキュリティリスクを伴うため、十分な注意が必要です。
Windowsの更新プログラムを適用しないリスク
Windowsの更新プログラムを適用しないと、どのようなリスクが発生するのでしょうか。具体的には、パソコンは以下のような危険を抱えることになります。
1)脆弱性が放置されてしまう
ソフトウェアは綿密なバグチェックを経て開発されても、リリース時には何らかの不具合を含むことが少なくありません。また、プログラムには必ず脆弱性が存在し、Windowsも例外ではありません。発見された脆弱性は更新プログラムで修正されますが、更新を止めると脆弱性が放置される状態になります。サイバー攻撃者は常に脆弱性を狙っているため、放置された端末は攻撃の標的となる可能性があります。
2)Windowsのサポートが終了する可能性がある
Windowsの各バージョンにはサポート終了期限が定められており、マイクロソフト社の「モダン ライフサイクル」ポリシーではサポート期間が2年間とされています。例えば、「Windows 10 Home and Pro」の「バージョン 21H2」は2023年6月13日にサポート終了日が設定されています。サポートが終了したWindowsでは、原則として更新プログラムが提供されなくなり、脆弱性が修正されないままとなるため、サイバー攻撃のリスクが非常に高まります。
3)セキュリティ機能が古いままになってしまう
「Windows Defender ウイルス対策」は、Windowsに標準で備わっている機能であり、Windowsの更新プログラムと連携してウイルス定義ファイルを更新します。更新プログラムを止めると、このウイルス定義ファイルを含む最新のセキュリティ機能が確保されなくなります。
高まるセキュリティリスク
クノロジーの急速な進化に加え、コロナ禍を契機としたリモートワークの広がりによって、セキュリティリスクが前例のないほど高まっています。この危険性は、以下のような具体的な事象からも伺えます。
1)インシデントの報告数が倍増
JPCERTの2022年4月発表の「インシデント報告レポート」によると、インシデント報告件数は2019年の20,147件から2021年には50,801件に増加し、約2.5倍になっています。フィッシングサイトに関連するインシデントが大半を占め、それに続くのが「スキャン」です。スキャン(またはポートスキャン)は、攻撃者が脆弱性を探し、システムに侵入したり、マルウェアを感染させたりする行為を意味します。攻撃者はシステムの脆弱性を見つけることでターゲットに侵入します。もしWindowsの脆弱性が放置されていれば、マルウェア感染や不正アクセス、ランサムウェア感染のリスクが高まる可能性があります。
2)次々と生まれる新種のマルウェア
テクノロジーの進化を背景に、近年では新しいマルウェアが急速に開発されています。その開発ペースは非常に速く、年間1億種類以上の新しいマルウェアが作られているとされています。更新プログラムを一時的にでも停止すると、この新種のマルウェアに対処できない恐れがあります。
3)悪用されるWindowsの脆弱性
「Emotet」というマルウェアは、Windowsの脆弱性を悪用していることで有名で、最近ではその感染力の強さが問題となっています。IPAによると、Emotetに関する相談件数は2022年1月~3月期に656件となり、前四半期の12件から54.7倍に急増しました。Emotetが悪用した脆弱性の修正プログラムはすでに提供されていますが、非常に感染力の高いこのマルウェアは2021年にEuropolによって一時鎮静化され、その後11月から活動を再開しています。特に日本国内では企業が主なターゲットとなっており、中小企業が狙われることが多いです。規模に関係なく、感染のリスクが高いため、警戒が必要です。
Windowsの脆弱性によるインシデント事例
Windowsの脆弱性に起因するインシデント事例を以下に2つ紹介します。
1.脆弱性「BlueKeep」に対応すべく緊急アップデートを配布
2019年6月に発見された「BlueKeep」脆弱性は、「Windows 7」と「Windows Server 2008」のOSに関するもので、リモートコード実行を引き起こすワーム(マルウェアの一種)が拡散するリスクがありました。この脆弱性が発見された時点で、約95万台の端末が修正されておらず、その影響範囲の広さから米国家安全保障局(NSA)が警告を発しました。マイクロソフト社は、サポート終了していた「Windows XP」や「Windows Server 2003」のOSに対しても、緊急のアップデートを配布しました。
2.ゼロデイ脆弱性でランサムウェアなどの被害
2021年9月、マイクロソフト社はWindowsのゼロデイ脆弱性に対応する更新プログラムを配布しました。ゼロデイ脆弱性とは、パッチが公開される前にすでに悪用される可能性がある脆弱性のことです。このような脆弱性を悪用した攻撃を「ゼロデイ攻撃」と呼び、攻撃者にとって非常に効果的で回避が難しく、リスクが極めて高くなります。今回の脆弱性は、WindowsのWebブラウザーのレンダリングエンジンに由来し、不正なOfficeファイルを開いた際にリモートコードが実行されるリスクがありました。この問題は、標的型攻撃やランサムウェア攻撃に利用されることがありました。
更新プログラムは後回しにせず、速やかな適用を
前述した2つのインシデントの事例からも明らかなように、Windowsの更新プログラムを適用しないことは、深刻なセキュリティリスクを引き起こす可能性がある。実際、紹介した事例以外にも多くのセキュリティインシデントが過去に発生している。シャットダウン時に時間がかかる、または端末の動作が遅くなるために更新プログラムを後回しにする心理は理解できる。しかし、そのわずかな手間を惜しむことで、マルウェア感染やそれによる重大な損害を招くリスクが高まることも事実だ。そうした損害を避けるためにも、更新プログラムは速やかに適用し、安全を保つことが重要である。
パスキーでは、Webサービスにアクセスする際、FIDOサーバーに接続します。FIDOサーバーは「チャレンジ」と呼ばれる要求をWebサービスへ送信し、ユーザーはスマートフォンなどのデバイスで秘密鍵を用いて署名したチャレンジを公開鍵とともにサーバーに返します。サーバーがそのチャレンジを検証し、認証が完了すればサービスへの登録が成立します。この方式では、サーバー側で署名認証のみが行われるため、高い安全性が確保されます。
さらに、この認証情報はデバイス内のTEE(Trusted Execution Environment)やセキュアエレメントといった隔離された環境に保存され、各サービスごとに管理されます。これにより、ログイン時に生体認証だけで簡単かつ安全に利用できるようになります。
また、パスキーの利用によりパスワードが不要となるため、パスワードリスト攻撃への耐性が強化されます。加えて、認証情報が各Webサイトごとに異なるため、フィッシングサイトへのログインを防ぎ、安全性が向上します。
