ソフトウェアパッチでマルウェア感染を回避する3つの方法とは

ソフトウェアパッチの目的は、ソフトウェアのリリース後に判明した脆弱性の解消やソフトウェアの欠陥の修正、新機能の追加、性能の向上などです。新しくリリースされたパッチをタイムリーにインストールすることは、重要なメンテナンスのステップです。パッチは、システムを最新かつ安定した状態に保ち、パフォーマンスを最適化し、新たなマルウェア感染の脅威を軽減します。

ソフトウェアパッチをタイムリーに適用することは絶対に必要なことですが、最近の調査では次のような結果が出ています。

●      回答者の60%が、パッチが入手可能でありながら適用されていないことによる脆弱性がデータ漏洩に関与していると報告しています。

●      回答者の68%は、パッチ管理の不備が原因でデータ漏洩が発生したと考えています。

マルウェアとは、悪意のあるソフトウェアの略語で、システムに損害を与える、データを盗む、ネットワークに不正にアクセスする、あるいは大混乱を引き起こすことを意図して書かれたアプリケーションのことを指します。マルウェアの感染は、企業が直面しうる最も一般的なサイバー脅威の一つです。マルウェアは、金銭的な目的でデータを盗むために使われることが多いですが、国家が組織的に行う攻撃の武器として、ハクティビストによる抗議の手段として、あるいはシステムのセキュリティ状態をテストするために使われることもあります。マルウェアとは、トロイの木馬、ワーム、ランサムウェアなど、悪意のあるソフトウェアの総称です。

サイバー犯罪者は、オペレーティングシステムや一般的なサードパーティ製アプリケーションのサイバーセキュリティ上の欠陥や脆弱性を常に探しています。サイバー犯罪者は、脆弱性を見つけると、マルウェアに埋め込むことができる小さなコード片であるエクスプロイトを使用して、その脆弱性を狙います。マルウェアを止めなければ、機密情報や個人情報を盗まれたり、コンピューターを制御されたり、ダウンさせられたり、データを暗号化されたりする可能性があります。攻撃者があなたのデバイスを指揮・統制すると、同じネットワーク上の他のエンドポイントに感染させることができます。また、不注意で感染したファイルを送信することで、マルウェアを他の個人に渡すことも可能です。

このため、オペレーティングシステムとアプリケーションを常に最新の状態に保つことが絶対的に重要なのです。もし脆弱性があれば、攻撃者がそれを見つけることは間違いないでしょう。

企業には、パッチを適用すべきデバイスやアプリケーションが何百、何千とあり、その多くは境界の外側にあります。手動でパッチを適用するには多くの時間がかかり、パッチの適用中にデバイスが使用できなくなることも少なくありません。このような理由から、企業はパッチマネジメントシステムを利用しています。

クラウドパッチ管理システムは、スタンドアロン製品である場合もあれば、サイバーセキュリティスイートの一部である場合もあります。その機能は、複数のソフトウェアパッチを自動的に管理し、インフラストラクチャを最新の状態に保ち、脅威から保護することです。組織のセキュリティポリシー、構造、ニーズに従ってシステムを設定するのは、通常、システム管理者（SA）の仕事です。パッチマネジメントシステムを選択する際には、以下のような重要な機能を確認する必要があります。

●      OSや特定のサードパーティアプリケーションを含む、可能な限り多くのアプリに対応。

●      統合された脆弱性評価により、セキュリティギャップを適切に特定し、それに基づきパッチの優先順位を決定。

●      パッチのスケジュール設定とプロセスの自動化により、計画的なダウンタイムを最小化し、ワークフローを合理化する機能。

●      パッチの段階的な適用機能（例：新しいパッチを特別な環境にインストールし、すべてが正しく実行された場合、数日後にインストールされたパッチを自動的に承認済みとしてマークする機能。

●      特定のパッチのみを適用するマシンのカスタムグループを作成する機能。これらのグループは、通常、部署、使用するオペレーティングシステム、実行中のJavaアプリケーションなどに応じて配置。

●      パッチの適用状況、パッチが適用されていないすべてのマシンの可視性、および各デバイスのコンプライアンス状況（GDPRなど）をSAに提供し、自動的に問題を修正することを可能にする管理コンソール。

●      モバイルデバイスやラップトップなど、デバイスがオフラインのために適用できなかったパッチの適用を自動的に再試行し、これらのデバイスがオンラインに戻ったら直ちにパッチを適用すべきシステム。

●      パッチの欠落、脆弱なシステム、更新の遅れ、再起動が必要なシステムなど、詳細なレポートと通知をSAに提供するシステム。

●      パッチ適用前にデバイスを自動的にバックアップし、パッチによってシステムが不安定になった場合でも簡単に復旧できるようにすることで、アップタイムを積極的に向上させるシステム。

脆弱性評価ツールは、お使いのコンピューターが既知の脆弱性の影響を受けるかどうかを評価し、それらの脆弱性に重大度レベルを割り当て、安全を確保するための重要な更新プログラムを推奨します。脆弱性評価では、脆弱性の重要性に基づいてパッチの優先順位を決めることで、セキュリティギャップを迅速に解消し、悪用可能な脆弱性によりよく対応できるようにします。

これらの機能はすべてを網羅しているわけではありませんが、パッチマネジメントシステムを選択する際に、ビジネスにおける確かなスタートラインに立つことができるのです。

SolarWinds社が、マルウェアに感染したパッチを無意識のうちに顧客に送っていたことは、周知の事実です。これは、ソフトウェアのサプライチェーン攻撃でした。これは異常な出来事でしたが、ITパッチにマルウェアが含まれる可能性があることを明確に示したものです。パッチを適用すると、システムのコンフリクトなど、より頻繁に他の問題も引き起こす可能性があります。誤ったシステム・パッチを適用すると、デバイスが使用不能になる可能性があります。

ここでは、感染したパッチや不適切なパッチをインストールする可能性を軽減するための3つのステップを説明します。これらの3つのステップに従っても、パッチが感染していないことを保証することはできないことを理解することが重要ですが、それでもこのアプローチはベストプラクティスとして推奨されます。

パッチをテストせずにインフラ全体に展開することは、すべてのシステムをダウンさせる可能性があるため、絶対に避けてください。その代わり、限られた数のデバイスでパッチをテストし、パッチに関する情報を収集する時間を取るようにしてください。

パッチを適用する前に、必ずデバイスのフルイメージ・バックアップを作成してください。何か問題が発生した場合、簡単に作業状態にロールバックすることができ、データとシステムを安全に保つことができます。

悪意のあるアプリケーションを検出して除去する、次世代型のアンチマルウェア（またはアンチウィルス）プログラムを必ず使用してください。従来のアンチマルウェアはシグネチャを使用してマルウェアを検出していましたが、次世代アンチマルウェアはふるまいベースの検出とヒューリスティックを使用しています。ふるまいベースの検知は、より複雑な技術であり、多くの場合、人工知能（AI）や機械学習（ML）に依存しています。どのプロセスが脅威となりうるかを判断するために、すべてのプロセスに対する全体的な見方が必要となります。例えば、特権の昇格を試みるプログラムは、脅威の可能性を示している可能性があります。

インストールされると、次世代マルウェア対策ソフトウェアは通常バックグラウンドで動作し、ウイルス、トロイの木馬、ワーム、その他のマルウェアからリアルタイムに保護します。ほとんどのウイルス対策ソリューションは、自動スキャンと手動スキャンの両方をサポートしています。自動スキャンでは、ダウンロードしたファイル、外部ストレージ・デバイス、ソフトウェア・インストーラによって作成されたファイルを検査することができます。ハードディスク全体の自動スキャンは通常スケジュールに基づいて実行されますが、手動スキャン機能では、ユーザーが必要と判断したときに、特定のファイルまたはシステム全体をスキャンすることができます。

Acronis Cyber Protectionは、上述したすべての要件を満たす脆弱性評価およびパッチ管理機能を提供し、ネットワーク上で動作するデバイスとアプリケーションに関する詳細な情報を提供します。脆弱性は内部の重要度スケールに従って分類され、必要なアップデートは自動的に取得され、保護ポリシーに従って様々な方法で異なるグループにロールアウトされます。内蔵の脆弱性評価により、定期的なスキャンで、セキュリティギャップがあり、パッチやアップデートが必要なマシン、システム、アプリケーションを特定します。これらは、ITのニーズに応じて、オンデマンドまたはスケジュールに従って簡単にロールアウトすることができます。Acronis Cyber Protectの脆弱性評価は、WindowsベースとLinuxベースのマシンをサポートしています。

アクロニスは世界中のクラウドサーバーからパッチを配布しますが、ピアツーピアのパッチ配布技術も使用して、パッチ配布中の速度低下を防止します。Acronis Cyber Protectのパッチ管理機能は、企業ネットワークの内外にあるエンドポイントにパッチを適用でき、フェイルセーフのパッチ管理機能は、フルディスクバックアップからの独自の安全な復元シナリオで使用できます。

バックアップ、特にフルシステムバックアップにはマルウェアが含まれていることがあります。これは、バックアップされたマシンにマルウェア対策製品がない場合や、導入されているマルウェア対策ソリューションがマルウェアを検出できなかった場合に発生します。Acronis Cyber Protectは、Acronis Cloudでバックアップされたデータをスキャンするため、エンドポイントのパフォーマンスに影響を与えずに、より積極的なヒューリスティック - より強力な検出を可能にします。マルウェアが特定され、駆除されると、お客様のSAはマルウェアのない「クリーンな」ディスクイメージからユーザーのマシンを復元することができます。またアクロニスは、SAの設定に基づいて、利用可能な最新のアップデートにシステムを自動的にパッチし、新たなワームの流行を防ぐことができます。その他のAcronis Cyber Protectの機能は以下のとおりです。

●      パッチの自動承認

●      スケジュールによる展開

●      手動展開

●      柔軟なリブートおよびメンテナンスウィンドウのオプション

●      段階的な展開

●      MS Office、Win10アプリを含むすべてのWindowsアップデート

●      Windows上のMicrosoftおよび200以上のサードパーティアプリケーションのパッチマネジメントに対応 

※この記事は2021年5月20日のAcronis.comの3 Ways to avoid malware infection in software patchesの抄訳です。