「後でアップデートする」が危険な理由
「アップデートが利用可能です」- スマートフォンやパソコンに表示されるこの通知を、「後で」「明日やろう」と先延ばしにしていませんか? 実は、アップデートを放置する時間が長いほど、あなたのデバイスは攻撃者にとって格好の標的になっています。
アップデートの中身 - 新機能だけではない
ソフトウェアのアップデートには、大きく分けて 3 種類の変更が含まれています。
- 新機能の追加: 新しいカメラ機能、デザインの変更など。目に見える変化
- バグの修正: アプリがクラッシュする問題、表示の不具合などの修正
- セキュリティパッチ: 発見された脆弱性 (セキュリティの穴) の修正。目に見えないが最も重要
多くの人はアップデートを「新機能の追加」だと思っていますが、実際にはセキュリティパッチが最も重要な要素です。
ゼロデイ攻撃 - 修正される前に攻撃される
ソフトウェアの脆弱性が発見されてから、修正パッチが公開されるまでの間に行われる攻撃を「ゼロデイ攻撃」と呼びます。「修正まで 0 日」= 対策が存在しない状態での攻撃です。
さらに危険なのは、パッチが公開された後です。パッチの内容を分析すれば、「どこに脆弱性があったか」が分かります。攻撃者はパッチの公開直後に、まだアップデートしていないユーザーを狙って攻撃を仕掛けます。
つまり、アップデートが公開された瞬間から、アップデートしていないデバイスへの攻撃リスクが急上昇するのです。
有名な「アップデートしなかった」事件
WannaCry ランサムウェア (2017 年)
世界 150 か国、23 万台以上のコンピュータが感染したランサムウェア攻撃です。Windows の脆弱性を悪用しましたが、Microsoft はこの脆弱性のパッチを攻撃の 2 か月前に公開していました。パッチを適用していたコンピュータは感染しませんでした。
イギリスの国民保健サービス (NHS) では、古い Windows XP を使い続けていた病院が多数感染し、手術のキャンセルや救急患者の転送を余儀なくされました。
Equifax 情報漏洩 (2017 年)
アメリカの信用情報機関 Equifax から 1 億 4,700 万人の個人情報が流出した事件です。原因は、Apache Struts というソフトウェアの脆弱性パッチを 2 か月間適用しなかったことでした。このように、ソフトウェアの依存関係を狙ったサプライチェーン攻撃は、パッチ適用の遅れが致命的な結果を招く典型例です。
自動アップデートを有効にしよう
- スマートフォン: iOS も Android も自動アップデート機能がある。Wi-Fi 接続時に夜間自動でアップデートされる設定を推奨
- パソコン: Windows Update、macOS のソフトウェアアップデートを自動に設定
- ブラウザ: Chrome、Firefox、Edge は自動アップデートが標準。手動で無効にしないこと
- アプリ: App Store、Google Play の自動アップデートを有効にする
- VPN ソフト: VPN クライアントも忘れずに更新する。VPN のキルスイッチ機能が正しく動作するためにも、最新版の維持が不可欠
「アップデートしたら不具合が出るかも」という心配は理解できますが、アップデートしないリスクの方が遥かに大きいです。
まとめ
アップデートの通知は「新機能のお知らせ」ではなく「セキュリティの穴を塞ぐ緊急修理」です。パッチ公開後はアップデートしていないデバイスへの攻撃リスクが急上昇します。WannaCry も Equifax も、パッチを適用していれば防げた事件でした。自動アップデートを有効にして、通知が来たらなるべく早く適用しましょう。攻撃者は IP アドレスをスキャンして脆弱なデバイスを探しています。自分の IP アドレスがどう見えているかは IP 確認さんで確認できます。
セキュリティアップデートの重要性を体系的に理解するには、サイバーセキュリティの入門書が参考になります。