ソフトウェアの「アップデート」を無視し続けた人が直面する“危険な末路”：ソフトウェアをアップデートすべき5つの理由【前編】

ソフトウェアのアップデートは放置してはいけない――。当たり前のようにそう言われるのは、なぜなのか。アップデートしないとどうなるのか。アップデートの意義をおさらいする。

[Amanda Hetler，TechTarget]

　サイバー攻撃が活発化している。中でも大規模だったのは、2020年末に判明した「SolarWindsサプライチェーン攻撃」だ。攻撃者は運用管理ベンダーSolarWindsのネットワーク管理ツール「Orion Platform」を悪用し、さまざまな組織にマルウェアを広げた。この攻撃によって被害を受けた組織には、米国土安全保障省（DHS）といった政府機関の他、MicrosoftやIntel、Cisco Systemsなどの大手ITベンダーがある。

　攻撃者がシステムに不正アクセスしたり、情報を盗んだりする手口は巧妙化している。攻撃に対抗するシンプルな方法が、ソフトウェアのアップデートだ。企業がソフトウェアをアップデートすべき理由とは何か。主要な5つの理由のうち、1つ目と2つ目を紹介する。

1. セキュリティの向上：アップデートを無視し続けるとどうなる？

併せて読みたいお薦め記事

ソフトウェアを安全に使うためのこつは？

• AIにシステムを任せるのは危険？　部分的なシステム自動化が無難なのか
• 「シフトレフト」とは？　ソフトウェア開発“セキュリティ改革”の切り札

　ソフトウェアのアップデートを早急に実施する最大の目的は、セキュリティの向上だ。ソフトウェアの脆弱（ぜいじゃく）性は、攻撃者がシステムに入り込む入り口になりかねない。脆弱性を悪用し、システムのマルウェア感染を図るのは、攻撃者の基本的な攻撃手法だ。

　攻撃者はマルウェアを使ってシステムを制御することで、機密情報を盗むことが可能になる。ドキュメントなどのファイルを暗号化して使えなくすることもできる。パッチ（修正プログラム）は“開かれた扉”をふさぎ、システムを攻撃から守る。

　ネットワークを他のユーザーと共有している場合は、さらに注意する必要がある。感染したデバイスから、同僚、友人、家族などネットワーク内の他のユーザーのデバイスに、知らないうちにマルウェアを拡散してしまう可能性があるからだ。

　セキュリティを高めるためには、ソフトウェアのアップデートの度にパスワードを更新することも検討しよう。2021年、石油パイプライン大手のColonial Pipelineが受けたランサムウェア（身代金要求型マルウェア）攻撃は、VPN（仮想プライベートネットワーク）のパスワード流出に起因している。パスワード管理の強化を促す意味で、Colonial Pipelineへの攻撃は企業にとって教訓になった。

2. データ保護：ダークWebで販売される前に機密情報を守るには？

　攻撃者はソフトウェアの脆弱性を悪用してシステムに侵入した後、ユーザー名やパスワード、クレジットカード番号など、機密情報が含まれるドキュメントを探す。入手した機密情報をダークWeb（特定の手段でのみアクセスできるWebサイト群）で販売する場合もある。ソフトウェアのアップデートは脆弱性を修正するため、データ保護の強化につながる。

---

　中編は、ソフトウェアのアップデートによる新機能の追加やデータ保護の強化を取り上げる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。