サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

セキュリティの基本「アップデート」を実行しよう~4大ソフトを最新版に

Webを閲覧していたら偽のセキュリティソフトをインストールされてしまった、メールに添付された文書ファイルを開いただけでウイルスに感染してしまった、という話をよく耳にします。こうした被害の多くはソフトウェアのアップデートで防ぐことができます。なかでも狙われやすい4つのソフトについては今すぐ最新版にアップデートしておきましょう。

アップデート前の基礎知識
・インターネットに接続できる状態で/管理者アカウントで/ユーザーアカウント制御/インストール時は不要なアプリを閉じる/ダウンロードは公式サイトから/インストーラーの実行時には署名確認を/コントロールパネルの開き方
「Adobe Reader」を最新版(Adobe Reader X 10.1.3)に
・使用しているバージョンの確認/最新版へのアップデート/自動更新の設定
・Adobe Readerをより安全に:
(1)保護モードの有効化(Adobe Reader Xのみ)
(2)JavaScriptの無効化
(3)マルチメディアプレーヤーの無効化
「Adobe Flash Player」を最新版(1.2.202.235)に
・使用しているバージョンの確認/最新版へのアップデート/自動更新の設定
「JRE」を最新版(Version 7 Update 4 [1.7.0_04]」)に
・使用しているバージョンの確認/最新版へのアップデート/自動更新の設定
「QuickTime」を最新版(7.7.2)に
・使用しているバージョンの確認/最新版へのアップデート/自動更新の設定

Webサイトや文書ファイルを閲覧するだけで、意図しないプログラムが勝手に実行されてしまうような、セキュリティ上の問題を引き起こす欠陥のことを脆弱性(ぜいじゃくせい)といいます。脆弱性が悪用されると、セキュリティソフトを入れたパソコンを注意深く利用していても、ウイルスに感染してしまう危険があります。

ソフトウェアの開発元は、脆弱性が見つかると問題点を修正し、ユーザーにアップデートするよう呼びかけます。ところが、せっかくのアップデートを適用せず、危険な状態のまま使い続けている人が多く、防げたはずの被害にあってしまう方が後を絶ちません。

ウイルス感染などに悪用されることが特に多いのは、利用者の多いマイクロソフトのWindowsとOffice製品、Adobe Reader、Flash Player、JRE(Java Runtime Environment:Java実行環境)です。これらだけでも、アップデートを欠かさずに行っていれば、被害を大幅に減らすことができます。

マイクロソフトの製品は、Windows UpdateやMicrosoft Updateを使って一括してアップデートできます。詳しくは、次のトピックスをご覧ください。

・「アップデート」を実行しよう【Windows OS編】
http://www.so-net.ne.jp/security/news/newstopics_201103.html

本稿では、個別にアップデートしなければならない、悪用されることの多い他のソフトウェア4本についてアップデートの方法をご紹介します。これらは、 Web閲覧ソフトのブラウザに機能を追加する「プラグイン」として、ユーザー自身がインストールしている場合もありますが、購入したパソコンに最初からイ ンストールされていたり、他のソフトウェアと一緒にインストールされたりすることもあるので注意が必要です。利用している覚えがなくても、インストールさ れていないかどうかを確認し、インストールされている場合には、最新版にアップデートしましょう。

アップデート前の基礎知識

アップデートに際しては、いくつかの注意事項があります。普段あまり行わないような操作もあるので、アップデートを行う前に、これらをぜひ覚えておいてください。

・アップデートはインターネットに接続できる状態で
最新版の確認やダウンロードは、インターネットを使って行います。アップデートは、必ずインターネットに接続できる状態で行ってください。

・アップデートは管理者アカウントで
システムの変更を伴うソフトウェアのインストールやアップデートには、管理者レベルのアクセス権が必要です。作業は、Windowsに管理者のアカウントでログオンして行いましょう。管理者のアカウントは、Windowsの初期設定時に最初に作成したアカウントや、後から管理者として作成したアカウントのことです。Wndows 7やWindows Vistaの場合には、[スタート]ボタンを押して右上のアカウント画像をクリックすると、ログオン中のユーザーのアカウント情報が確認できます。ユーザー名の下に「Administorator」の表示があれば管理者のアカウントです。

図1:ユーザー名の下に「Administorator」の表示があれば管理者アカウント


・ユーザーアカウント制御
Windows 7やWindows Vistaには、UAC(User Account Control:ユーザーアカウント制御)という仕組みが組み込まれています。この機能は、管理者権限の有無に関わらず、ソフトウェアを常に管理者権限を持たない状態で実行し、管理者レベルのアクセス許可が必要になるとダイアログボックスを表示し、ユーザーに許可を求めます。

図2:ダイアログボックスを表示してユーザーに許可を求める


・インストール時は不要なアプリケーションを閉じる
アップデートは、他の作業と並行して行うことができますが、使用中のプログラムなどは更新することができません。このような場合には、インストール時に特定のアプリケーションを終了するよう指示されたり、インストール後にブラウザやシステムの再起動を要求されたりします。インストーラーの実行や[インストール]ボタンを押す前に、不要なアプリケーションを閉じておくと、再起動の手間を最小限に抑えることができます。

・ダウンロードは公式サイトから
最新版の入手は、ソフトウェアの更新機能を使って行う場合と、ユーザー自身でWebサイトからダウンロードしてくる場合があります。ソフトウェアに機能が備わっている場合には、それを利用しましょう。自身でダウンロードする場合には、必ず公式サイトでからダウンロードしてください。インターネット上では、最新版などと称して悪質なプログラムをインストールさせようとする行為が横行しています。公式サイト以外からのダウンロードには、大きな危険が伴うのでご注意ください。

・インストーラーの実行時には署名確認を
このトピックスでとりあげているプラグインは、いずれもファイルに電子署名が付いており、作者やファイルが改ざんされていないことを確認できるようになっています。署名は、ファイルのプロパティで確認できますが、前掲のユーザーアカウント制御の通知や、ダウンロードしたインストーラーを実行する際のセキュリティの警告にも表示されます。偽物にだまされないように、正しい発行元であることを確認しましょう。

図3:「セキュリティの警告」に表示される「発行元」の確認を


表1:各プラグインの発行元

プラグイン 発行元
Aodobe Reader Adobe Systems, Incorporated
Adobe Flash Player Adobe Systems Incorporated
JRE Sun Microsystems, Inc.
QuickTime Apple Inc.
Aodobe Reader Adobe Systems, Incorporated

・コントロールパネルの開き方
アップデートやプラグインの設定などを行う際に、「コントロールパネル」を使用することがあります。コントロールパネルは、[スタート]ボタンを押し、[コントロールパネル]という項目をクリックすると表示されます。
図4: [スタート]ボタン→[コントロールパネル]をクリック


コントロールパネルの初期設定は、いくつかのカテゴリに分類したカテゴリ別の表示になっています。目的のものがどこにあるのか分からない場合には、すべてを一覧できるアイコン表示に切り替えて探します。
図5: Windows 7は、[表示方法]で[大きいアイコン]や[小さいアイコン]を選択するとアイコン表示に、[カテゴリ]を選択するとカテゴリ表示に戻る


図6: Windows Vistaは、[クラシック表示]をクリックするとアイコン表示に、[コントロールパネルホーム]をクリックするとカテゴリ表示に戻る


図7:Windows XPは、[クラシック表示に切り替える]をクリックするとアイコン表示に、[カテゴリの表示に切り替える]をクリックするとカテゴリ表示に戻る


Windows 7/Vistaの場合には、コントロールパネルの右上にある検索ボックスに名前を入力すれば、目的のものを素早く探し出すことができます。このトピックスで扱うプラグインで、コントロールパネルを使用するものは、「Flash Player」「Java」「QuickTime」で検索できます。最初の1文字を入力するだけで、すぐに見つかるでしょう(図8)

図8:コントロールパネルの検索

 「Adobe Reader」を(最新版:Adobe Reader X 10.1.3)に

Adobe Readerは、アドビシステムズが開発した、PDF(Portable Document Format)と呼ばれる形式の文書ファイルを閲覧するためのソフトウェアです。閲覧ソフト自体は、単体で使用できるアプリケーションですが、ブラウザ用のプラグインも一緒にインストールされ、ネット上のPDFファイルをブラウザ内でシームレスに表示することができます。PDFファイルは、文書の配布に広く用いられており、多くのパソコンに最初からインストールされています。インストール済みの場合には、[スタート]→[すべてのプログラム]に[Adobe Reader]の項目があります。
【使用しているバージョンの確認】 現在使用しているAdobe Readerのバージョンは、Adobe Readerを起動すると確認できます。デスクトップの[Adobe Reader]アイコンか、[スタート]→[すべてのプログラム]→[Adobe Reader]の順に選択し、Adobe Readerを起動します。[ヘルプ]メニューの[Adobe Reader について]を選択すると、バージョンが確認できます。

図10:起動するとバージョンを確認できる


バージョン8までは、すでにサポートが終了しており、現在はバージョン9(最新版:9.5.1)とバージョン10(最新版:10.1.3)が提供されています。

バージョン10は「Adobe Reader X」という名称で、脆弱性攻撃からアプリケーションを守るための、「保護モード」と呼ばれる機能を搭載しています。保護モードは、脆弱性を悪用した攻撃を大幅に緩和してくれるので、旧バージョンをお使いの方は、より安全なAdobe Reader Xへの移行を検討しましょう。Adobe Readerの最新版は、下記のダウンロードページで入手できます。
・Adobe Readerのダウンロードページ(アドビシステムズ)
http://get.adobe.com/jp/reader/

新しいAdobe Readerをインストールすると、旧バージョンは自動的に削除されますが、インストーラーが古いバージョンを削除できないことがあります。手動でのアンインストール方法については、アドビシステムズの下記ページをご覧ください。
・アンインストール手順(アドビシステムズ)
http://kb2.adobe.com/jp/cps/831/8316.html

【最新版へのアップデート】
最新版へのアップデートは、Adobe Readerを起動し、[ヘルプ]→[アップデートの有無をチェック]の順に選択します。Adobe Reader Updaterが起動し、自動的にチェックが始まります(図11)。
図11


「利用可能なアップデートがあります」と表示されたら、[ダウンロード]ボタンを押してダウンロードします(図12)。
図12


「アップデートのインストール準備ができました」と表示されたら、[インストール]ボタンを押してインストールを開始します(図13)。
図13


【自動更新の設定】
Adobe Readerには、アップデートの有無を自動的に確認し、ダウンロードやインストールを行う機能があります。この機能は無効にすることもできますが、活用してAdobe Readerを常に最新の状態で使用しましょう。現在の設定状況は、Adobe Readerの環境設定で確認できます。Adobe Reader を起動して、[編集]→[環境設定]の順に選択し、分類セクションで[アップデーター]を選択します。[自動的にアップデートをインストールする]を選択すると、インストールまで自動化されます(図14)。
図14


【Adobe Readerをより安全に】
Adobe Readerを適切に設定しておくと、悪質なPDFファイルを使用した攻撃を緩和し、より安全に利用することができます。Adobe Readerを起動し、[編集]→[環境設定]の順に選択し、以下の設定の確認/変更を行うことをお勧めします。

(1)保護モードの有効化(Adobe Reader Xのみ)
分類セクションの[一般]を選択し、[起動時に保護モードを有効にする]をチェックします(図15)。 保護モードは、Adobe Reader X の初期設定で有効になっており、ファイルの書き込みやプログラムの起動などが制限された環境でPDFファイルを開きます。未修整の脆弱性が悪用された場合でも、保護モードであれば処理やアクセスが大幅に制限されているので、システムを攻撃から守ることができます。
図15


(2)JavaScriptの無効化
分類セクションの[JavaScript]を選択し、[Acrobat JavaScriptを使用]のチェックをはずします。Adobe Readerの脆弱性攻撃では、Adobe ReaderがサポートしているJavaScript(ジャバスクリプト)という言語を使用し、実行する不正なコードをメモリー上に配置する手法がよく使われます。この手法を用いた脆弱性攻撃は、JavaScriptを無効にしておけば防ぐことができます。一般に配布されているPDFの大半は、JavaScriptを必要としないので、保護モードのない Adobe Reader 9 の場合は、必ず無効化しておきましょう。
図16


(3)マルチメディアプレーヤーの無効化
分類セクションの[マルチメディアの信頼性(従来形式)]を選択し、[マルチメディア操作を許可]のチェックを外す(無効化)。または、[選択したマルチメディアプレーヤーを実行する権限]で[確認する]に設定します(図17)。
  PDFには、ビデオやオーディオなどのマルチメディアコンテンツを埋め込むことができます。再生には、内蔵しているFlash Playerや他のマルチメディアプレーヤーが使われますが、これらマルチメディアプレーヤーの脆弱性を攻撃するために、PDFファイルが悪用されることがあります。マルチメディアプレーヤーの無効化しておくと、悪用を防ぐことができます。
図17

 「Adobe Flash Player」を(最新版:11.2.202.235)に

Adobe Flash Playerは、アドビシステムズに吸収されたマクロメディアが開発した、Flashで作成されたマルチメディアコンテンツを再生するソフトウェアです。Flashのコンテンツは、Webサイトで広く使われており、家庭向けのパソコンの多くは最初からインストールされています。
バージョン9までは、すでにサポートを終了し、現在はバージョン10(最新版:10.3.183.19)とバージョン11(最新版:11.2.202.235)が提供されています。
ブラウザが使用するFlash Playerには、Internet Explorer用のActiveX(アクティブエックス)コントロール版と、Internet Explorer以外のブラウザ用のプラグイン版、Google Chromeに組み込まれている専用版があります。Google Chrom版は、Google Chromのアップデート時に最新版に自動更新されます。その他の最新版は、下記のダウンロードページで無料で入手できます。
・Flash Playerのダウンロードページ
http://get.adobe.com/jp/flashplayer/

複数のブラウザを利用している場合は、全てのブラウザでアップデートを行わないと、古いバージョンが残ってしまうのでご注意ください。ActiveXコントロール版は、Internet Explorerだけでなく、Microsoft Officeなどからも利用できるので特に注意が必要です。Wordの文書ファイルにFlashコンテンツを埋め込むと、Word経由で攻撃することもできるので、Internet Explorerを使用しているかどうかに関わらず、ActiveXコントロール版は常に最新の状態に保つか、不要ならば削除してください。
Flash Playerのインストール状況は、Windows 7とWindows Vistaは、コントロールパネルの[プログラムのアンインストール]で、Windows XPはコントロールパネルの[プログラムの追加と削除]で確認できます。図の一覧に表示されている「Adobe Flash Player」の「Active X」がActiveXコントロール版、「Plugin」がプラグイン版です。

図19:Windows7/Vistaは[プログラムのアンインストール]で確認


【使用しているバージョンの確認】
現在使用しているFlash Playerのバージョンは、コントロールパネルの「Flash Player 設定マネージャ」、または下記の「Flash Playerのバージョンテスト」ページで確認できます。
・Flash Playerのバージョンテストページ(アドビ)
http://www.adobe.com/jp/software/flash/about/

「コントロールパネル」を開いて[Flash Player]をクリックすると、「Flash Player 設定マネージャ」が開きます。[高度な設定]タブに、インストール済みのバージョンが表示されます。[今すぐチェック]ボタンを押すと、先の「Flash Playerのバージョンテスト」ページをディフォルトブラウザで開きます。
図20:Flash Player 設定マネージャ
<

図20:Flash Player 設定マネージャ


【最新版へのアップデート】
「Flash Playerのダウンロードページ」や「Flash Playerのバージョンテスト」ページには、最新版のバージョン情報が掲載されています。インストールされているバージョンが古い場合には、「Flash Playerのダウンロードページ」で最新版に更新しましょう。
図22:Flash Playerのダウンロードページ

ダウンロードページの[いますぐインストール]をクリックすると、インストーラーのダウンロードが始まります。「Googleツールバー」や「McAfee Security Scan Plus」を同時にインストールする設定になっている場合には、あらかじめチェックを外しておきましょう。

【自動更新の設定】
Flash Playerには、最新版の有無を定期的に確認し、ユーザーに通知する機能があります。バージョン11.2からは、ダウンロードからインストールまで自動的に行う機能もサポートされました。
自動更新の適用方法は、バージョン11.2移行を初めてインストールした時に指定できるようになっており、ディフォルトでは「新しいアップデートがリリースされたら自動的にインストールする」が選択されています。そのままインストールを進め、Flash Playerを常に最新の状態で利用できるようにしましょう。
図23:インストール時の設定


インストール後の設定変更は、「Flash Player 設定マネージャー」の「高度な設定」タブにある[更新]で行うことができます。設定の変更には管理者レベルのアクセス許可が必要なので、管理者としてログオンしたWindows XP以外では、グレーアウトして選択できません。[アップデート設定を変更]ボタンを押して、ユーザーアカウント制御の許可や管理者のアカウントを入力すると、変更できるようになります。
図24:設定マネージャーでの設定(変更不可)


図25:設定マネージャーでの設定(変更可)

 「JRE」を(最新版:Version 7 Update 4 [1.7.0_04])に

JREは、オラクルに吸収されたサンマイクロシステムズが開発したプログラミング言語、Java(ジャバ)で書かれたプログラムを実行するために必要なソフトウェアです。ブラウザのJavaScriptと名前が似ていますが、全く別のもので、ブラウザ内で動くアプリケーション(アプレット)と、単体で動く通常のアプリケーションの両方が作成できます。開発環境も実行環境も無料で配布されており、実行環境のJREは、多くのパソコンにインストールされています。
バージョン5までは、すでに無償サポートを終了しており、現在はバージョン6(最新版:Update 32(1.6.0_32))とバージョン7(最新版:Update 4(1.7.0_04))が提供されています。
JREの最新版は、下記のダウンロードページで入手できます。バージョン6の無償サポートは、2012年11月までなので、お使いの方は、移行を検討しましょう。

・JREのダウンロードページ(オラクル)
http://java.com/ja/download/
新しいJREをインストールすると、古いバージョンが削除されずに残ることがあります。システムに複数インストールされている場合には、使用しない旧バージョンをすべてアンインストールしておくことをお勧めします。アンインストールの方法については、オラクルの下記ページをご覧ください。

・アンインストール手順(オラクル)
http://java.com/ja/download/help/uninstall_java.xml

【使用しているバージョンの確認】
下記の「Javaソフトウェアのインストール状況の確認」ページを開き、[Javaのバージョン確認]のボタンを押します。(図27)
・Java ソフトウェアのインストール状況の確認(オラクル)
http://java.com/ja/download/installed.jsp
図27


最新版がインストールされている場合には、「Javaのバージョンを確認しました。正常な設定です」と表示されます(図28)。
図28


インストールされているJREが最新版でないときには、このような表示になります(図29)。[今すぐJavaをダウンロード]ボタンを押せば、ダウンロードページでバージョン7の最新版が入手できます。
図29

ダウンロードページでは、バージョン7を配布しているので、バージョン6を使用中の方はご注意ください。バージョン7をインストールすると、バージョン6が古いまま削除されずに残ってしまいます。バージョン7に移行する方は、バージョン6を手動でアンインストールしてください。バージョン7へはまだ移行したくない方は、次の「最新版へのアップデート」の方法で、バージョン6の最新版にアップデートしましょう。
JREがインストールされていない場合には、しばらくしてからこのような表示になります(図30)。そのままページを閉じてください。Internet Exploreで次のようなダイアログボックスが表示された場合には、[OK]ボタンを押してページを閉じます(図31)。
図30:Firefox


図31:Internet Explorer


【最新版へのアップデート】
JREのバージョン確認とアップデートは、先のインストール状況の確認ページのほかに、パソコンの「Javaコントロールパネル」で行うこともできます。
「コントロールパネル」を開いて[Java]をクリックすると、「Javaコントロールパネル」が開きます。[Java]タブの[表示]ボタンを押すと、インストールされているJREのバージョンが確認できます(図32)。
図32


【最新版へのアップデート】
[アップデート]タブの[今すぐアップデート]ボタンを押すと、Java Updateが自動的にチェックを始めます。「アップデートを入手可能」と表示されたら、[インストール]ボタンを押して画面の指示に従うと、最新版にアップデートできます(図33)。
Javaコントロールパネルのアップデートでは、インストールされているバージョンの最新版にアップデートします。バージョン6の場合には、最新バージョンの7ではなく、バージョン6の最新の更新版になります。
図33


【自動更新の設定】
JREには、アップデートの有無を自動的に確認し、ダウンロードする機能があります。この機能は無効にすることもできますが、活用してJREを常に最新の状態で使用しましょう。現在の設定状況は、「Javaコントロールパネル」の[アップデート]タブで確認できます。[アップデートを自動的にチェック]がチェックされていると、スケジュールされた間隔で自動確認が行われ、[通知]の設定にしたがって、ダウンロード前やインストール前に通知されます(図34)。
図34


[詳細]ボタンを押すと、更新確認を行う頻度を変更できます(図35)。頻度の変更には管理者レベルのアクセス許可が必要なのですが、現バージョンには「Flash Player 設定マネージャー」の[アップデート設定を変更]ボタンに相当する、管理者で実行する機能がないため、Windows 7/Vistaでは、設定を変更しても保存されず効果がありません。
図35

 「QuickTime」を(最新版:7.7.2)に

QuickTime(クイックタイム)は、アップルが開発したマルチメディアコンテンツを再生するためのソフトウェアです。最近はあまり使われていませんが、バージョン10.5より前のiTunesに含まれていたため、一緒にインストールされた方も多いでしょう。iTunes Storeで扱っているコンテンツの再生にQuickTimeは必要ありませんので、iTunesを最新版(バージョン10.6)に更新している方は、QuickTimeをアンインストールして構いません。
QuickTimeのアンインストールは、Windows 7とWindows Vistaは、コントロールパネルの[プログラムのアンインストール]で、Windows XPはコントロールパネルの[プログラムの追加と削除]で行います。
古いQuickTimeコンテンツの中には、QuickTimeがインストールされていないと再生できないものがあります。この場合には、下記の「QuickTimeのダウンロードページ」で最新版(バージョン7.7.2)を入手し、インストールしてください。

・QuickTimeのダウンロードページ
http://www.apple.com/jp/quicktime/S

【使用しているバージョンの確認】
現在使用しているQuickTimeのバージョンは、コントロールパネルの[QuickTime]アイコンで「QuickTime設定」を開き、[バージョン情報]ボタンを押すと確認できます。
図37


【最新版へのアップデート】
QuickTimeのアップデートは、一緒にインストールされる「Apple Software Update」、またはコントロールパネルの「QuickTime設定」で行います。
「Apple Software Update」は、[スタートメニュー]→[すべてのプログラム]→[Apple Software Update]の順に選択すると起動し、自動的に新しいソフトウェアの確認を開始します。確認が終わると、見つかった[アップデート]と[新しいソフトウェア]が一覧に表示されます。[アップデート]がインストール済のソフトウェアの最新版なので、「QuickTime」がある場合には、チェックを入れて[インストール]ボタンを押し、指示に従ってインストールを進めます。
[新しいソフトウェア]は、インストールされていない配布中のソフトウェアです。Apple Software Updateは、このように、同社のiTunesやSafariなどの入手や最新版への更新も、まとめて行えるようになっています(図38)。
図38


「Apple Software Update」がインストールされていない場合には、コントロールパネルの「QuickTime設定」でアップデートが行えます。「QuickTime設定」を開き、[更新]タブの[更新]ボタンを押すとチェックが始まります(図39)。
図39

アップデートが見つかると「今すぐ更新しますか」と確認してきます。[OK]ボタンを押し、指示に従ってインストールを進めます。

【自動更新の設定】
QuickTimeとApple Software Updateは、どちらもアップデートを自動的に確認する機能を備えています。「QuickTime設定」の[更新]タブにある[自動的に更新を確認]にチェックが入っていると、起動時にアップデートの有無を自動的に確認します(図40)。
図40


Apple Software Updateは、設定された間隔で自動的に起動してチェックを行い、アップデートなどが見つかると通知します。チェックの頻度は、Apple Software Updateの[編集]→[設定]で確認や変更が行えます。
図41


(執筆:現代フォーラム/鈴木)



お知らせ