Japan
サイト内の現在位置
PCやスマートフォン、タブレット端末などのソフトウェアアップデートについて
NECセキュリティブログNECサイバーセキュリティ戦略統括部 セキュリティ技術センター サイバーインテリジェンスグループの郡司です。今週のセキュリティブログでは、PCやスマートフォン、タブレット端末などのソフトウェアアップデートに関する話題をお届けします。
はじめに
最近はPCやスマートフォン、タブレット端末といった個人用の情報機器が数多くあり、皆さんも活用されていると思います。そして、こうした情報機器にはソフトウェアアップデートの機能があり、新機能の追加や不具合の修正、そして脆弱性が見つかった時などには更新プログラムが提供されます。
ところが、こうしたソフトウェアアップデートがいつまで提供されるのか明確に決まっていなかったり、脆弱性が報告されてから更新プログラムが提供されるまでに時間がかかったりと、さまざまな問題を抱えてもいます。今回の記事ではそうしたソフトウェアアップデートにまつわるお話を取り上げてみたいと思います。なお、ここでの話題は主にPCやスマートフォン、タブレット端末などの個人用の情報端末を対象とし、サーバやIoT機器などは対象外とします。
複数の製品に影響を及ぼす脆弱性でも、製品ごとに修正タイミングが異なる事例
先日の2022年5月26日、複数のApple製品に対するセキュリティアップデートが公開されました
[1]。その中で注目したのが、CVE-2022-22675として追跡されているAppleAVD(オーディオやビデオのデコード用カーネル拡張)の脆弱性[2]と、CVE-2022-22674として追跡されているIntel Graphics Driverの脆弱性[3]です。ここではこの2つの脆弱性についての詳細は説明しませんが、どちらも悪用が報告されているという重大な脆弱性です。CVE-2022-22675の脆弱性はMacBookやiMacなどのOSであるmacOS Big Sur(最新のmacOS Montereyのひとつ前のバージョン)、Apple TVなどのOSであるtvOS、Apple WatchなどのOSであるwatchOSに存在します。そして、CVE-2022-22674の脆弱性はMacBookやiMacなどのOSであるmacOS Big SurおよびmacOS Catalina(最新のmacOS Montereyの二つ前のバージョン)に存在しています。どちらの脆弱性も5月27日に公開されたセキュリティアップデートで修正されたとのことです[1]。
ところがこの2つの脆弱性ですが、その2か月ほど前となる2022年3月31日、MacBookやiMacなどのOSであるmacOS Montereyや、iPhoneなどのOSであるiOS、iPadなどのOSである iPadOSを対象に、すでに修正されたものでした[1]。
少しわかりにくいので、2つの脆弱性とその対象となるOS、および修正された日を表にしてみました。
| 脆弱性 | 2022/3/31 | 2022/5/27 |
| CVE-2022-22674 | macOS Montereyで修正 | macOS Big Sur、macOS Catalinaで修正 |
| CVE-2022-22675 | macos Monetrey、 iOS、iPadOSで修正 |
macOS Big Sur、tvOS、watchOSで修正 |
表 1 脆弱性2つとその対象となるOSとの関係、および修正日
あらためますと、2022年3月31日の時点ではmacOSの最新版であるMonterey、および利用者の多いiOS、iPadOSでのみ脆弱性が修正され、macOSの古いバージョンである Big Surや Catalina、および比較的利用者の少ないtvOS、watchOSについては3月31日の時点では未対応であり、脆弱性が存在していたことが伺えます。
脆弱性に対するセキュリティアップデートが公開されると、攻撃者がそのアップデートプログラムを解析してどのような修正が行われたのかを確認し、まだセキュリティアップデートを適用していない製品に対して攻撃を行うことがあります。今回は複数の製品に同様の脆弱性が存在して、当初は一部の製品にしか修正が行われなかったため、未修正の他の製品が攻撃の対象になったのではないかと思われます。
受け取れるソフトウェアアップデート期間がハードウェアによって異なる事例
個人用の情報端末については、ベンダーからソフトウェアアップデートがいつまで提供されるのかは明示されないことが多くあります。そのため、アップデートが公開されてみて初めて自分の使用している機種がサポート対象外になっていたことに気が付く、といったこともあるかもしれません。
Apple製品の例をまた取り上げてみたいと思います。日本で発売されたiPhone(3GS以降)について、ハードウェアの発売日、および本ブログの執筆時点でそのハードウェアに導入できる最新のiOSバージョンとそのリリース日について次の通り表にしてみました[1]。
| ハードウェア | 発売日 | 最新のiOS | iOSの最終更新日 |
| iPhone 6s以降 | 2015年9月25日~ | 15.5~ | 2022年5月16日~ |
| iPhone 6 | 2014年9月19日 | 12.5.5 | 2021年9月23日 |
| iPhone 5s | 2013年9月20日 | 12.5.5 | 2021年9月23日 |
| iPhone 5c | 2013年9月20日 | 10.3.3 | 2017年7月19日 |
| iPhone 5 | 2012年9月21日 | 10.3.4 | 2019年7月23日 |
| iPhone 4s | 2011年10月14日 | 9.3.6 | 2019年7月23日 |
| iPhone 4 | 2010年6月24日 | 7.1.2 | 2014年6月30日 |
| iPhone 3GS | 2009年6月19日 | 6.1.6 | 2014年2月21日 |
| iPhone 3G | 2008年7月11日 | 4.2.1 | 2010年11月22日 |
表 2 iPhoneの発売日とiOSの最終更新日との関係
これを見ると、現時点の最新のiOSであるiOS 15系を導入できるのはiPhone 6s以降ということが分かります。少なくともiPhone 6s以降(2015年9月25日以降発売のiPhone)については最新のソフトウェアアップデートを受けることが出来ると思われます。しかし、iOS 15系にアップデートできないiPhone 6以前の機種については、iOSの最終更新日からも分かる通り、積極的にアップデートがなされていないことが分かります。
また発売日が新しいiPhone 5cよりも、その1年前に発売されたiPhone 5のほうがiOSのバージョンが新しいというのを不思議に思われるかもしれません。これはiPhone5においてGPSのハードウェアに起因する不具合があり、それをソフトウェアで修正するためのアップデートです[4]。そのためハードウェア不具合の対象ではなかったiPhone 5cには新しいiOSを適用する必要がなかったために、最終更新日の逆転現象が起きたものです。この不具合は「修正しないとインターネットに接続できなくなる」という致命的な不具合であったために急遽Appleが対応を行ったものかと思われますが、脆弱性などの定期的な修正については、もはや行われていないと推測されます。
もうひとつ同様の例として、Chromebookについて見てみましょう。ChromebookはGoogleが提供するChrome OSを搭載したノート型PCです。ハードウェアとOSを一体として提供しているAppleとは異なり、さまざまなハードウェアメーカーからChrome OSを搭載した製品が発売されています。
Chromebookにはユーザーが意識せずとも自動的にChrome OSのアップデートを行う機能が搭載されているのですが、残念ながら未来永劫アップデートをすることができるわけではありません。「自動更新の有効期限」として定められた期間だけアップデートが可能で、それ以降はアップデートされません。「自動更新の有効期限」についてはGoogleのサイトで機種ごとに確認することができます[5]。例としてNEC製のChromebookは次の通りです。
| 製品 | 自動更新の有効期限 |
| Chromebook Y1 | 2027 年 6 月 |
| Chromebook Y1 Gen2 | 2027 年 6 月 |
| Chromebook Y1 Gen2A | 2026 年 6 月 |
| Chromebook Y1 Gen3A | 2029 年 6 月 |
| Chromebook Y2 | 2027 年 6 月 |
| Chromebook Y3 | 2029 年 6 月 |
表 3 NEC製Chromebookの自動更新の有効期限
ハードウェアの制約によりアップグレードできない事例
最後にWindows PCの例を見てみましょう。個人用のPC向けのOSであるWindowsで現在サポートされているバージョンは次の通りです[6]。
| バージョン | サポート終了 |
| Windows 8.1 | 2023年1月10日 |
| Windows 10 | 2025年10月14日 |
| Windows 11 | 未定 |
表 4 Windowsのサポート期限
サポート期間中のWindowsはセキュリティアップデートなどを自動で定期的に受け取ることが出来ますが、サポート期限を過ぎるとセキュリティアップデートが配信されなくなるため、そのまま使い続けると修正されない脆弱性が増えていくことになります。そのためアップデートを受け続けるためには、サポート終了前にサポート対象のバージョンにアップグレードする必要があります。Windows 8.1からWindows10へ、またWindows 10からWindows 11へは無償でアップグレードすることができますが、ハードウェアが要件を満たさない場合はアップグレードできないといったことが発生します。
図 1 要件を満たさないハードウェアはWindows 11にアップグレードできない
また先ほどのiPhoneの例に戻りますと、古いハードウェアでは最新のiOSは利用できないものの、致命的な不具合などが出た場合にはそれを修正するソフトウェアアップデートが提供されることもあります。ただしサポート期限が明示されていない以上、いつまでそうしたソフトウェアアップデートが提供されるのかは不透明です。
個人用の情報端末でソフトウェアアップデートを継続して受け取るための注意点
PCやスマートフォン、タブレット端末といった個人用の情報端末でのソフトウェアアップデートに関するいくつかの事例を見てきました。最後にソフトウェアアップデートを継続して受け取るための注意点をまとめてみたいと思います。
まずは、同一のハードウェアで複数のOSが利用できる場合、なるべく最新のバージョンを利用すべきです。理由としては最初に挙げた事例にもある通り、同じmacOSでも最新バージョンのみ先行して脆弱性が修正され、古いバージョンの修正が後回しにされることがあるためです。macOSであればmacOS Montereyを、WindowsであればWindows 11を利用するのが理想ですが、ハードウェアの制約によってアップグレードできない場合は、なるべく新しいバージョンにアップグレードしましょう。
次に、サポート期限を過ぎてソフトウェアアップデートを受け取ることのできなくなったハードウェアは、たとえ壊れていなくても買い替えるべきです。理由としては、新たに脆弱性が発見されても修正がされなくなり、安全な使用が困難になるためです。またサポート期限が明示されていない場合でも、最新のバージョンにアップグレードできなくなった時点で買い替えを検討したほうが良いでしょう。具体的にはiPhoneの場合はiOS 15系にアップグレードできないiPhone 6以前などがそれに該当します。
そして当然ですが、サポート期間中のハードウェアであってもソフトウェアアップデートを怠っては意味がありません。ソフトウェアアップデートを自動で受け取るような設定が出来る事も多いので、可能であれば自動アップデートの設定をすることをお勧めします。
おわりに
今回の記事ではPCやスマートフォン、タブレット端末といった個人用の情報機器について、ソフトウェアアップデートがいつまで提供されるかについて調査しました。サポート期限が明確に提示されているものもあれば、いつまでサポートされるのか不明なものもあります。ご自身の利用している情報機器がサポート中かどうか、またサポート中であってもきちんと最新の状態にアップデートされているかどうか、今一度確認してみてはいかがでしょうか。
参考文献
- [1]
- [2]
- [3]
- [4]
- [5]
- [6]
執筆者プロフィール
郡司 啓(ぐんじ さとし)
セキュリティ技術センター サイバーインテリジェンスグループ
おもに脅威情報を収集・分析し、それを必要とする人に届ける、といった事をしています。主な資格はCISSP、情報セキュリティスペシャリストなど。
執筆者の他の記事を読む
アクセスランキング