wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

最新のウィルスが最新の脆弱性を投入しているとは限らない

以前も参考にさせてもらった「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」(TrendLabs SECURITY BLOG)には,以下の記述がある.


一例では、Adobe Reader および Acrobat の古い脆弱性である「CVE-2010-0188」を使用した不正なPDFファイルがダウンロードされ、閲覧したPCが攻撃被害にあうことが確認されています。
本当にこれは一例でw,よく使われるとされるJava脆弱性も古いものであることが多い.ところが,このような古い脆弱性は,新しいバージョンでは脆弱性対応が行われていることがほとんどであるか,脆弱性に対応するための根本的な技術が導入されることがほとんどである.

なので,よく言われる「ソフトウェアは最新化を」というのは,脆弱性に付け入られる隙を減らすという観点では,とっても大事なことである.

セキュリティソフトウェア自体にも脆弱性がある,ということも考えられ,いわゆるパターンに反映されるまでのタイムラグがあることも考えあわせると,「ウィルススキャナを入れる」というのは「必要ではあるが十分ではない」ということがわかるだろう.

セキュリティソフトウェアを入れるまえに,使っている環境が既存の脆弱性に対応して最新化されているというのは,セキュリティを考える上で最低限の条件といえる.
ソフトウェアの脆弱性を放置しておくということを人間の身体に例えるならば,本来は運動したり食事する時の栄養バランスに気をつけるなどの健康的によいとされることを行わず,体調を崩したり病気にかかったりした時に医者に行けば良い,ということと似ている.
普段から自分の環境をチェックして,最新化を心がけてほしい.