今回は、先日書いた「4つのポイント」の二つです。
前回は「アンチウイルスは絶対に使う」と書きました。
ITちょっとやってる人にとっては「あたりまえ」→「そんな事しってるよ」声が聞こえそうです。
同じように「やってるよ、そんな事」といいそうなのがソフトウェアアップデートです。
ではその前に、本日のポイント
意外に知られていない「Windows10にはサポート期限がある」
「自動更新」するタイミングにパソコンを使っていないと、自動更新されずにサポート切れのまま使っている人が多い。
大切なのはGoogle ChromeやMicrosoft EdgeのUpdate
Windows10にはバージョンごとにサポート期限があります。
みなさんは今使っているバージョンが何かわかってますか?
Microsoftのライフサイクルのページで確認
直近では、バージョン20H2が、5月9日に期限を迎えます。
ただ、この期限が来たら修正プログラムを配信されなくなる。という事ではありません。
少し前のバージョンであれば、修正プログラムが提供されますが、そこがまた落とし穴の一つです。
「修正プログラムを適用すれば安全」とは限らないんです。
「修正プログラム」とは今わかっている脆弱性(攻撃に対して弱く・脆い点)に対して対応するだけです。ソフトウェアは膨大な文字、数字、符号の集まりからできているため、見つかっていないだけの脆弱性が存在している可能性があります。
「最新のプログラム」とは、機能強化が重視されますが、実は積み重なった脆弱性をまとめて強化しているため、同じソフトウェアであれば、古いバージョンよりも新しいバージョンの方が安全性が高いと考えられています。
ただし、最新のソフトウェアにも潜在的な脆弱性は存在します。このため、ソフトウェアベンダーは自社やフリーの「脆弱性探し屋さん」から情報を得て、修正プログラムを利用者へ提供しています。
脆弱性にはいくつかの危険度を示す「物差し」があります。例えばMicrosoftでは、
- Critical=緊急
- すでに攻撃に使用されている例が発見されている、とても危険、すぐに適用
- Important=重要
- 重大な影響が及ぶ、できるだけ早く、
- Moderate=適時
- タイミングを見て、忘れないうちに、
- Low=注意
- 適用した方がよい、
と4段階の物差しが使われています。
もし「Criticalだよ!」と教えてもらえれば、あなたはすぐに危険を感じて適用すると思いますが、自分で探しに行かなければ、物差しの”上”なのか”下”なのか分かりません。つまり危険性を認識することが難しいんです。
こうした物差しを伝えてくれるサービスもあります。
危険性がわからないからポップアップを消してしまう
Updateがリリースされると、パソコン、スマホなどでは画面にポップアップが表れて「更新するプログラムがあります」とか言ってきますが、
- 危険性がわからない。
- Updateすると使えないソフトが出てくるかもしれないので心配。
- ポップアップは仕事の邪魔だからすぐに消してしまい、そのうち忘れてしまう。
などの理由で、必要なタイミングでUpdateしない人は多く、長い期間Updateを忘れた結果「いっぺんに実施すると、大変なことになるのではないか」と恐れて、さらに古いまま使っている人も珍しくありません。
最も大切なUpdateはGoogle Chrome、Microsoft Edgeなどのブラウザです。
Windowsupdateとは別にGoogle ChromeやMicrosoft Edgeが頻繁にUpdateされています。
ブラウザは、あなたのパソコンがいろいろな会社や趣味の集まり、推しの情報を訪ねるドアです。
ほしい情報、動画、音楽そのすべてはブラウザを通じて得ることになります。
つまり、データを収めたサーバーに細工をしておき、あなたが欲しい情報を得たいために訪れた時に、ブラウザを通じてあなたのパソコンにさらなる攻撃の元となる「悪意あるプログラム」を忍び込ませるんです。
そのプログラムがアンチウイルスのデータベースと合致すれば、アンチウイルスから警告が出て、あなたに注意するように促します。
さらに、ブラウザが常にUpdateされて、最新の状態なら、ブラウザはサーバーから受け取る細工を動かすことなく、シャットアウトすることが期待されます。
Updateは確実に実施しておきましょう。