ネットソリューション部 担当部長
ある企業のシステム管理者から,Adobe Flash PlayerやAdobe Readerのセキュリティ・ホールを突いて感染するウイルスやマルウエアへの対策について相談を受けました。『以前、個人では使用可能な無償の“ソフトウエアぜい弱性検査ツール”を紹介してもらったが、企業で無償で使える同様のツールはないか』という内容です。
「Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?」というコラムで紹介した“Win32/Daonolの亜種”も、Adobe Flash PlayerやAdobe Readerのセキュリティ・アップデートが漏れがちな製品のセキュリティ・ホールを突いていました。定期的なセキュリティ・アップデートというイベントが根付いてきたマイクロソフト製品ではなく、セキュリティ更新の漏れがちな製品、特にアドビ製品を狙うウイルスやマルウエアが増加傾向にあります。
これに対して,「無償のPC導入ソフトぜい弱性検査ツールを評価する」というコラムでは,ソフトウエアぜい弱性検査ツール「Secunia PSI」を紹介しました。ただ,Secunia PSIは個人でなければ無償では利用できません。
これに対し,個人・法人を問わず広範囲に無償で利用できるツールが,国内に登場しました。IPA(情報処理推進機構)が11月30日に公開した「MyJVNバージョンチェッカ」です。
[関連情報]
- 簡単な操作で製品のバージョンをチェックできる「MyJVNバージョンチェッカ」を公開(IPA、2009/11/30)
このリリース文から分かる「MyJVNバージョンチェッカ」の特徴は以下の通りです。
■「MyJVNバージョンチェッカ」動作環境
- OS(32bit版のみ対象):Windows XP(SP2、SP3)/Vista
- ブラウザ:Internet Explorer(6、7)、Firefox 3
- JRE:Sun Java Runtime Environment(5.0, 6.0)
■「MyJVNバージョンチェッカ」チェック対象製品
- Adobe Flash Player(ActiveX, Plug-in):動画再生ソフト
- Adobe Reader:PDFファイルの閲覧ソフト
- JRE:Java実行環境ソフトウエア群
- Mozilla Firefox:Webブラウザ
- Mozilla Thunderbird:メール・ソフト
- Lhaplus:ファイル圧縮・解凍ソフト
- QuickTime:動画再生ソフト
まず、「MyJVN バージョンチェッカ」は、自分自身の環境をチェックするツールです。原稿執筆時点の12月25日時点では,32ビット版のWindows XP(SP2、SP3)/Vista以外の環境では動作しません。できるだけ早く,最新版のWindows 7にも対応してほしいところです。
動作環境としてのWebブラウザはInternet Explorer(IE) 6、7であり、最新版の8が現在対象外である点も気になります。例えばIE 8の利用者は、「MyJVN バージョンチェッカ」を使用するためにFirefox 3系のブラウザを用意しなければなりません。本来はFirefox 3系を必要としない人に新たにソフトウエアを導入させることは、セキュリティの観点では本末転倒です。ぜひ,IE 8の対応も急いで頂きたいと思います。
また、チェック対象ソフトは,今のところ7種類です。その一つであるJRE(Java Runtime Environment:Java実行環境ソフトウエア群)は,パソコンにプリインストールされているケースは少なく,必要ないように思えます。ただ、「MyJVNバージョンチェッカ」を動作させるためにJREとしてSun Java Runtime Environment(5.0, 6.0)が必要になるため、チェック対象に含まれているわけです。JREには、過去にもセキュリティ・ホールがたびたび発見されています(関連記事)から,JREのチェックは不可欠でしょう。
なおAdobe Flash Playerについては、ActiveX版と Plug-in版のそれぞれがチェック対象になっています。ActiveX版はInternet Explorerが使用し、Plug-in版はFirefox等のInternet Explorer以外のブラウザが使用しています。
チェック対象製品には,マイクロソフト製品が含まれていません。IPAの講演資料である「PacSec カンファレンス 2009 セキュリティ10大脅威と現状 ~アップデートしていますか?~」に、「マイクロソフトの製品はMicrosoft Updateを使用してアップデートできます。パッチの自動更新もできます。しかし、マイクロソフト以外のベンダーの製品の対策はばらばらの状況。JRE、pdf、解凍ソフトなどのアップデートを単純・簡単化し機械化するのがMyJVNバージョンチェッカです」と記載されていることから、「MyJVNバージョンチェッカ」はマイクロソフト以外のベンダーの製品の対策のために開発されたものであることが分かります。
MyJVNバージョンチェッカを試す
それでは早速,「MyJVNバージョンチェッカ」を試してみましょう。手順に沿って説明していきます。
(1)IPAの「ぜい弱性情報共有フレームワーク - MyJVN」のWebページ中の「MyJVN バージョンチェッカ」の項の情報を確認する
まず「MyJVN バージョンチェッカ」のWebページにアクセスします。このWebページにアクセスするとOSの種別や、JRE の環境が存在するか等を自動的に判定され、もしJREを未導入であれば「あなたのパソコンには JRE がインストールされていないようです。」と表示されます。
(2)必要に応じて、「MyJVNバージョンチェッカ」の動作に必要な環境を整備する
JREを未導入であれば、表示されるJREの最新版のダウンロード・サイトと、インストール方法に基づきJREを導入します。