4月下旬から5月上旬の連休時期にかけて、多くの緊急セキュリティアップデートが発表されました。「ゼロデイ攻撃」という、修正プログラム(セキュリティパッチ)が用意される前の脆弱性を突いて侵入する被害が多くあり、ファイルの暗号化で身代金を要求する、ランサムウェアを設置されたサーバーも相当数あったようです。
弊社でもセキュリティパッチが公開されるとすぐに、深夜帯に何度もアップデート作業を繰り返しました。
AIの進化により、脆弱性を探すホワイトハッカー的な使われ方が急激に進んでいます。防御となるセキュリティパッチの開発もまたAIが取り組んでいるようです。このようなAIが一般公開されると悪用されかねないので、有償で限定された箇所を利用可能にするビジネスモデルになるように思います。
さて、セキュリティパッチはベンダーがサポートしているバージョン向けにのみ提供されます。ですから、既にサポートが終了しているWindows 7や8、古いMac、iOS、Androidなどはパッチが提供されません。脆弱性は潜んだままですから、攻撃を受ければリスクは極めて高くなります。
また、OSを新しいバージョンへ更新すると、それまで利用していたソフトウェアも改修や作り直しが必要になる場合があります。そのため、「使えているから、今のままでいいよ」や「改修費用が高いし」と更新を見送ると、その結果として攻撃対象となって被害を受け、一方で乗っ取られて加害者にもなり得ます。
セキュリティはお金を生み出しません。しかしながら、ITを使用し続ける以上はお金を投じるべき分野です。
著者紹介:
安藤究真 Kyuma Ando
サーバー一筋23年。2000年に株式会社チロロネットを創業してレンタルサーバーサービスの提供を開始。2015年にチロロネットベトナムを設立。2018年からはベトナムでもサーバー・クラウドサービスを提供している。