So-net トップ 光ファイバー・ADSL案内
So-net セキュリティパソコンのウイルス対策など、安心・安全の情報

セキュリティ通信トップ> セキュリティ関連ニュース> トピックス
セキュリティ関連ニューストピックス
 
初心者必読! しないと怖い「プラグイン」アップデートの方法
   「プラグイン」という言葉を聞いたことがありますか? 「初めて聞いた」、または「聞いたことはあるけれど、何なのかよくわからない」という方も、いらっしゃるのではないでしょうか。今回のトピックスは、プラグインのアップデートがなぜ大切なのか、しないと怖い理由と、アップデートの方法について、初心者の方にもわかりやすく説明します。

   ■Webサイトにアクセスしただけでウイルスに感染!
   ★コラム:脆弱性が引き起こす怖い事態
   ■古いプラグインは危険
   ■プラグインをアップデートしよう
   ■Adobe Flash Player:最新版「10.0.22.87」
   ■Adobe Reader:最新版「9.1.2」
   ■QuickTime:最新版「7.6.2」
   ■RealPlayer:最新版「11.1.2」
   ■JRE(Java Runtime Environment:Javaランタイム環境):最新版「6 Update 13(1.6.0_14)」

■Webサイトにアクセスしただけでウイルスに感染!
   4月から5月にかけて、サイトの改ざんが多発しました。「セキュリティ通信」の次の記事でとりあげているのは、(一部例外はありますが)改ざんされた事実をきちんと告知し、対策を呼びかけているサイトです。改ざんされたサイトはほかにもあるのですが、こっそりと問題のあった部分を修正するなどして、何事もなかったかのように運営を続けているところが多く、一般ユーザーのもとになかなか情報が届かないのが実情です。

・多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ(2009/04/14)
・多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」(2009/04/14)
・薬事日報のサイトが改ざん〜閲覧者にウイルス感染のおそれ(2009/04/22)
・正規サイト改ざん(1) 総合ホビー展示即売会「ホビコン」公式サイトも被害に(2009/04/24)
・正規サイト改ざん(2) 薬事日報社が調査結果公表〜改ざんの手口が明らかに(2009/04/24)
・正規サイト改ざん(3) ウイルスに感染しないための対策(2009/04/24)
・正規サイト改ざん:国交省、全日本民医連、NHT紀尾井町グループ(2009/05/01)
・ 国内の正規サイト改ざん:攻撃サイトを変え再襲来(2009/05/13)

    これらの改ざんの目的は、サイトにアクセスしてきたパソコンをウイルスに感染させることです。しかし、アクセスしたパソコンすべてがウイルスに感染するわけではありません。感染してしまったパソコンにはいくつかの共通点があります。

    その共通点のひとつが、「古いバージョンのFlash PlayerやAdobe Readerがインストールされていた」ことです。攻撃者は、Flash PlayerとAdobe Readerの脆弱性(ぜいじゃくせい:セキュリティ上の欠陥)を悪用しているのです。

★コラム:脆弱性が引き起こす怖い事態
   「脆弱性を悪用する」と一口に言っても、悪用によって引き起こされる事態はさまざまです。影響が深刻で、しかも攻撃者が好んで悪用するのが、コード実行が可能になってしまう脆弱性――わかりやすく言うと、攻撃者がユーザーのパソコン上で好き勝手なことができるようになってしまう脆弱性です。

   現在のWindowsでは、「攻撃者がユーザーのパソコン上で好き勝手なことをする=外部からパソコンに送り込んだプログラムを実行させる」ことは簡単ではありません。ネット経由でパソコンに届いたファイルのうち、危険を伴う種類のファイルについては、開こうとした時に警告が出るようになっているからです。警告を無視してプログラムを実行させるために、攻撃者は工夫を凝らさなければなりません。

   ところが、コード実行が可能になってしまう脆弱性を悪用すると、「危険だと認識されない種類のファイル」を開かせることで、プログラムを実行できてしまいます。たとえばメールソフトにコード実行が可能な脆弱性があった場合は、メールを開いただけで、ブラウザならサイトにアクセスするだけで、攻撃者が用意したプログラムが実行されてしまうのです。

   その結果、IDやパスワード、機密情報が盗みとられるかも知れません。パソコンがスパムメールの大量配信に使われるかも知れないし、ファイルを書き換えられてパソコンが起動しなくなるかも知れません。何が起こるかは、攻撃者の用意したプログラムの中身次第です。


■古いプラグインは危険
    ソフトウェアに機能を追加するためのプログラムをプラグインと呼びます。先に出てきたFlash Playerも、Adobe Readerも、ブラウザに機能を追加するプラグインです。Flash PlayerをインストールするとFlashコンテンツ(アドビ社のFlashで作成された動画やゲームなど)を再生できるようになり、Adobe ReaderをインストールするとPDFファイルが開けるようになります。

   プラグインは、ソフトウェア本体の一部として機能します。そのため、もしブラウザ用のプラグインにコード実行の脆弱性があったなら、ブラウザに脆弱性がある場合と同じように、サイトにアクセスしただけで攻撃者の用意したプログラムが実行されてしまうおそれがあります。

   上に書いた一連のサイト改ざんも含め、プラグインの脆弱性を悪用しようとする攻撃が現在、世界中で流行しています。

    「プラグインなんてインストールした覚えがないから、自分のパソコンには入っていない」と思う人もいるかも知れません。しかしメーカー製パソコンの場合、購入時からすでにプラグインがいくつかインストールされていることが多いものです。もしかすると、あなたのパソコンにも、欠陥のある古いプラグインが入っているかも知れません。

    プラグインに脆弱性が見つかった場合、開発元では欠陥を修正した新しいバージョンや、更新プログラムを公開します。ウイルスなど悪質なプログラムの被害を防ぐために、プラグインは最新の状態にしておきましょう。


■プラグインをアップデートしよう
   以下、Windowsユーザーのために、代表的なプラグインについて、6月16日現在の最新版のバージョンと、アップデートの方法、自動更新の設定方法などをご紹介します。

   自動更新については、「予期しないタイミングでプログラムが通信を始めてしまうのはいやだ」ということで、無効にしている人もいるかも知れません。パソコン関連のサイトをこまめにチェックし、必要な情報をすばやくキャッチして的確な対策をとれる人ならそれでもいいのですが、その自信がないなら自動更新を有効にしておくことをおすすめします。

   ただし、セキュリティ関連の情報を自分でチェックすることも大切です。これまでにいくつかのプラグインで、危険な脆弱性を修正した最新版が公開されたのに、自動更新機能や、アップデート機能への反映が遅れたことがありました。脆弱性はすみやかに解消しておきたいので、こうした場合は、プラグインのダウンロードサイトへアクセスして、自分で最新版をダウンロードし、インストールする必要があります。「So-netセキュリティ通信」では、プラグインやソフトウェアに危険な脆弱性が見つかったり、更新版が公開されたときには、すみやかに情報をお伝えしていています。ぜひご活用ください。


■Adobe Flash Player:最新版「10.0.22.87」
   Flashコンテンツ(アドビ社のFlashで作成されたコンテンツ)を再生するプラグインで、ほとんどのメーカー製パソコンに購入時からインストールされています。Internet Explorer用の「ActiveXコントロール版」と、その他ブラウザ用の「プラグイン版(NPAPI版)」の2種類があり、一方をアップデートしても、もう片方はアップデートされずに古いまま残っています。複数のブラウザを利用している場合は、それぞれのブラウザからアップデートを行わなければなりません。

<アップデートの手順>
1.インターネットに接続して「Flash Playerのバージョンテスト」ページを開き、現在使っているFlash Playerのバージョンを確認する。
・「Flash Playerのバージョンテスト」
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm


2.最新のFlash Playerを公開している「Adobe Flash Playerのインストール」ページを開き、現在使っているバージョンと最新版のバージョンを比較する。新しいバージョンほど番号が大きい。
・「Adobe Flash Playerのインストール」
http://www.adobe.com/go/getflashplayer_jp


3.新しいバージョンが公開されている場合は、2で開いた「Adobe Flash Playerのインストール」のページだけを残して他のブラウザウインドウをすべて閉じ、「今すぐインストール」ボタンを押す。

4.パソコンにインストールされているすべてのブラウザで、以上の手順を繰り返す。

<自動更新の通知の設定>
1.インターネットに接続してFlash Playerの「設定マネージャ」ページを開き、「グローバル通知設定パネル」をクリックする。
・「設定マネージャ」ページ
http://www.macromedia.com/support/documentation/jp/flashplayer/help/settings_manager.html


2.開いたパネル上で、「Adobe Flash Playerアップデートのリリース情報を通知します」にチェックを入れ、「アップデート情報の確認を次の間隔で」のプルダウンメニューから、更新の通知頻度を最短の7日に設定する。




■Adobe Reader:最新版「9.1.2」
    PDFファイルを閲覧できます。ほとんどのメーカー製パソコンに最初からインストールされています。
・最新版ダウンロードページ
http://www.adobe.com/jp/products/acrobat/readstep2.html
※修正プログラムが公開されていることがあるので、インストール後にアップデートが必要

<インストールされているバージョンの確認>
「スタート」→「すべてのプログラム」から「Adobe Reader」を起動。「ヘルプ」の「Adobe Readerについて」をクリックする。

<アップデートの手順>
1.インターネットに接続した状態で、Adobe Readerを起動。「ヘルプ」→「アップデートの有無をチェック」をクリックする。

2.「Adobe Updater」が起動して、自動的にチェックを行う。「ご使用の Adobe アプリケーションで利用可能なアップデートがあります。…(略)」と表示されたら「詳細を表示」をクリックする。


3.利用可能なアップデートのうち「Adobe Reader」にチェックを入れ、「ダウンロードしてインストール」ボタンを押す。


<自動更新の設定>
1. Adobe Readerを起動し、「ヘルプ」→「アップデートの有無をチェック」→「環境設定」の順にクリックする。


2. 「Adobe Updaterの環境設定」画面が開く。「自動的に新しいアップデートを確認する」にチェックを入れ、プルダウンメニューで「毎週」を選択。「すべてのアップデートを自動的に…(略)」と、アップデートするアプリケーション欄の「Adobe Reader」にチェックを入れて、「OK」ボタンをクリックする。




■QuickTime:最新版「7.6.2」
   動画、音楽、画像ファイルを再生、表示できます。iTunesに組み込まれているため、QuickTimeの脆弱性は、iTunesに影響することがあります。QuickTimeをインストールすると、同時に「Apple Software Update」がインストールされ、アップデートの確認に利用できます。

・最新版ダウンロードページ
http://www.apple.com/jp/quicktime/download/
※修正プログラムが公開されていることがあるので、インストール後にアップデートが必要

<インストールされているバージョンの確認>
「スタート」→「コントロールパネル」と進み、QuickTimeのアイコンから「QuickTime設定」の画面を開く。「バージョン情報」ボタンを押す。

<アップデートの手順>
2つの方法がある。

A. Apple Software Updateを使う
インターネットに接続した状態で、「スタート」→「すべてのプログラム」から「Apple Software Update」を起動する。自動的にアップデートのチェックが始まり、更新が必要かどうかの通知画面が表示される。表示された中に「QuickTime」があったら、チェックを入れて「インストール」ボタンを押す。


※最新のApple Software Updateは、 ウェブブラウザ「Safari」と「iTunes + QuickTime」もアップデートできるように構成されており、デフォルトで「iTunes + QuickTime」にチェックが入っている。SafariやiTunesを使用していない場合は、これらにチェックを入れた状態で「ツール」から「選択された更新を無視」を選ぶと、以後、表示されなくなる。


B. Apple Software Updateがない場合
インターネットに接続した状態で、「スタート」→「コントロールパネル」と進み、QuickTimeのアイコンから「QuickTime設定」の画面を開く。「更新」タブをクリックし、「更新」ボタンを押す。


<自動更新の設定>
二つの方法があり、更新確認のタイミングが異なっている。

A. QuickTime起動時に更新の有無を自動確認
「コントロールパネル」の QuickTime のアイコンから「QuickTime設定」の画面を開く。「更新」タブをクリックし、「自動的に更新を確認」にチェックを入れて「OK」ボタンを押す。デフォルト(初期状態)でチェックが入っている。この方法を使うと、QuickTime が起動したときに、更新の有無が自動的に確認されるようになる。


B. 毎日、更新の有無を確認
「スタート」→「すべてのプログラム」から「Apple Software Update」を起動し、「編集」→「設定」で「Apple Software Update設定」画面を開く。スケジュールタブが開いているので、「毎日」を選び、OKボタンを押す。以後、毎日、更新の有無が確認されるようになる。





■RealPlayer:最新版「11.1.2」
    音声や動画の再生、ダウンロード等ができます。
・最新版(無料版)ダウンロードページ
http://jp.real.com/downloadRP/download2.html
※修正プログラムが公開されていることがあるので、インストール後にアップデートが必要。

<インストールされているバージョンの確認>
「スタート」→「すべてのプログラム」から「RealPlayer」を起動。「ヘルプ」の「RealPlayerのバージョン情報」をクリックする。

<アップデートの手順>
1. インターネットに接続した状態で RealPlayerを起動。「ツール」→「アップデートをチェック」をクリックする。

2. 自動的にチェックが行われ、「Auto Update」または「オートアップデート」の画面が開く。「セキュリティアップデート」または「RealPlayer11」へのアップデートをすすめる項目があったらチェックを入れて、「インストール」ボタンを押す。図は、RealPlayer10.5の表示例。


<自動更新の設定>
1.RealPlayerを起動し、「ツール」→「環境設定」をクリックする。環境設定画面が開く。

2.「自動サービス」の「オートアップデート」をクリック。開いた画面で「重要なアップデートを自動的にダウンロードおよびインストールする」にチェックを入れ、「OK」ボタンを押す。オートアップデートはデフォルトでオンになっている。





■JRE(Java Runtime Environment:Javaランタイム環境):最新版「6 Update 14(1.6.0_14)」

   Javaプログラム(ゲーム、チャットなど)を実行するために必要なソフトウェア群です。JREでは、更新版をインストールしても旧バージョンがパソコン内に残ります。旧バージョンが不要な場合は、コントロールパネルからアンインストールすることをおすすめします。

・JRE 6最新版ダウンロードページ
http://java.sun.com/javase/ja/6/download.html



<インストールされている『すべてのバージョン』の確認>
「スタート」→「コントロールパネル」から、Vistaでは「プログラムと機能」、XPでは「プログラムの追加と削除」を開く。以下の名称の後ろに数字がついた形で、インストールされているバージョンがすべて表示される。
「J2SE Runtime Environment」
「Java(TM) SE Runtime Environment」
「Java(TM)6 Update」
業務や、訪問サイトの都合で古いバージョンのJREが必要なこともあるが、支障がなければ最新版のみを残してほかをアンインストールするようおすすめする。


<インストールされている『最新のバージョン』の確認>
「スタート」→「コントロールパネル」で、Javaアイコンから「Javaコントロールパネル」を開く。基本タブが開いているので、「バージョン情報」ボタンを押す。

<アップデートの手順>
1.「スタート」→「コントロールパネル」で、Javaアイコンから「Javaコントロールパネル」を開く。「アップデート」タブで「今すぐアップデート」ボタンを押す。


<自動更新の設定>
1.「スタート」→「コントロールパネル」で、Javaアイコンから「Javaコントロールパネル」を開く。

2.「アップデート」タブの「詳細」ボタンを押す。「自動アップデートの詳細設定」画面が開くので、「毎日」にチェックを入れ、都合のいい時刻を指定して「了解」ボタンを押す。






(執筆:現代フォーラム/北野)

 
トピックスIndex
セキュリティニューストピックス
ニュースバックナンバー
So-netのセキュリティ関連サービス
525円(税込)/月 
各263円(税込)/月 
セキュリティ通信TOP
  So-netは安心のプロバイダーです。
Copyright 2007 So-net Entertainment Corporation