システム部の山田です。
このところ、Linux関連の脆弱性がわんさか発表されて
僕の所属してるサーバーチームも大忙しになっております。
Apache、MySQL、glibc、opennssl...
今回は皆さんに関係ないようで実はめっちゃ関係あるこの「脆弱性」のお話です。
スマホやパソコンをよく使う人、必見です。

脆弱性とは？？？

脆弱性。なんか難しい言葉ですね。
「〇〇における脆弱性」なんて言えば技術的で難しい印象を受けますが、
要はコンピュータを動かすソフトウェアにおいて、セキュリティ上の「欠陥」のことを言います。

で、皆さんがお使いのスマホであれPCであれ、
最近流行りのスマート家電なんてものも含めて
複雑な電子機器には何らかの「ソフトウェア」が入っています。

その「ソフトウェア」は基本的に人間がつくるものですから
当然バグや設計ミスといった想定外の「欠陥」が存在し得ります。

だからメーカーはこの「欠陥」に気付いたとき
修正用の「ソフトウェア」を提供しているんですね。
よく「Windowsアップデート」や「iOSアップデート」なんて通知が来て、
中を見ると「XXXに関する脆弱性の対応」とか書いてあるやつです。

こういうの

ただ、結構多くの人が「めんどくさい」とか「よくわからない」とかでこの通知を無視しちゃってるんじゃないでしょうか。
それ、ダメです。

脆弱むかしばなし

これはほんの数年前、まだiPhone4が発売された頃のことなんですが
この「iPhone4」を動かしていた「iOS4.3.3」というOSにめちゃくちゃ危険な「脆弱性」がありました。

基本的にiPhoneは僕たち一般ユーザーが操作できる部分をガッチリ制限して、
変なものが入らないようにセキュリティを確保しています。

ただiPhoneには昔から、いわゆる「脱獄」と呼ばれる行為が存在して、
一般ユーザーにかけられた制限を解除することで
本来触れないシステム上の大事な設定やファイルを触る方法があるのも事実です。

この「脱獄」は基本的に別のコンピューターとiPhoneを繋いだりして
コンピューターからiPhoneを改造するような工程が必要なんですが、
この「iOS4.3.3」はこれまでのどの端末よりも「脱獄」が簡単にできました。

なんと「iOS4.3.3」は電子文書ファイルでおなじみの「PDF」を開くときに
本来セキュリティで守られて実行できないようなプログラムを特別に実行できてしまう欠陥があって、
これを利用すればWEBサイトから「PDF」を閲覧するだけで「脱獄」できてしまうんです。
その時間、ほんの数十秒。

これを利用して、ロックがかかっていないiPhoneを勝手に「脱獄」して
遠隔操作で意のままに操ろうとする輩まで出る始末。
またこの「欠陥」を利用してWEBサイト閲覧中にウイルスを送り込まれる危険性も十分にありました。
当時iPhoneを持っていた人はちょっと怪しいサイトを見ただけで簡単にスマホを乗っ取られる可能性があったわけですね。おそろしい。

この「欠陥」はApple社が即座に修正版のソフトウェアを配布して対応されましたが、
こういうものを無視するといつまでも危険に晒されることになります。

さらにこれは昔話でもなんでもなくて、
この手口とよく似た脱獄方法がつい数ヶ月前、「iOS9.3.2」でも利用されるという話がありました。
2016年の話です。

脆弱どうするの？？

じゃあどうすればいいかというと、WindowsでもiPhoneでもAndoridでも、JAVAやiTunesでも、
基本的にアップデートの通知は無視しちゃいけないって話です。
面倒でもちゃんと内容を読んで、調べて、適切に対応してください。
もし大事に至っても自己責任になっちゃいますからね。

とはいえ、こういったセキュリティの通知を騙った詐欺ウイルスもあるので注意しないとだめですが。

こういうのは注意。詐欺だ！

ちなみに今回なんでこんな話を選んだかというと、
この前知人のPCをメンテナンスのために見に行ったときに
「Java Update」の通知をひたすら無視していたので注意喚起のつもりでお題にしてみました。

では最近寒くなってきたので、体もPCも壊さないように気を付けてください！

サーバー上のセキュリティ対応にお悩みの方はこちらまで