VPSのセキュリティ対策に関するチェックリストには必ず「システムを定期的に更新する」という項目があります。しかし、これは現実世界での必要性というよりは理論的な「ベストプラクティス」の一つなのでしょうか？

正直なところ、「apt update && apt upgrade」を実行するのを忘れてしまうことはよくあります。私の経験では、少なくともDebianでは、アップデートで何かが壊れることは滅多にありませんが、常に小さなリスクはあります。それでも、アップデートを忘れないようにしたり、コマンドを実行したり、場合によっては再起動したりする必要があります。

残念ながら、OSのアップデートを怠ると、優秀な管理者でさえも大きな危険にさらされる可能性があることは、歴史が何度も証明しています。では、システムを定期的にアップデートすることが不可欠であることを、どうすれば納得していただけるでしょうか？歴史上の実例を挙げて説明しましょう。

1. EternalBlue エクスプロイト (Windows SMBv1 – 2017)

2017年、悪名高いWannaCryランサムウェアが瞬く間に拡散し、世界中でデータを暗号化し、ビットコインによる支払いを要求しました。このランサムウェアは、旧式のSMBv1プロトコルに存在する脆弱性「EternalBlue」を悪用していました。ちなみに、この脆弱性を悪用したエクスプロイトコードは、国家安全保障局（NSA）によって作成されました。NSAはこの脆弱性を発見したものの、Microsoftには開示していませんでした。残念ながら、ハッカーチームもまたこの脆弱性を発見してしまいました…。

しかし、この脆弱性が広く悪用される頃には、マイクロソフトはすでに2 か月前にパッチをリリースしていたものの、多くのシステムにはパッチが適用されていないままだった。

2. Dirty COW（Linux権限昇格 – 2016年）

Dirty COW （CVE-2016-5195）は、Linuxカーネルにおける権限昇格のバグでした。攻撃者は、たとえ限られたユーザー権限しか持っていなくても、この脆弱性を悪用することでルートアクセスを取得することができました。この脆弱性はLinuxカーネルに9年間存在していましたが、発見されるとすぐにパッチがリリースされました。パッチが適用されていないサーバーは、システム全体を乗っ取られる危険性がありました。

3. Heartbleed（OpenSSL – 2014）

Heartbleedは、ウェブ上のHTTPSトラフィックの大部分を暗号化するライブラリであるOpenSSLに存在した壊滅的なバグでした。この脆弱性により、攻撃者はサーバーのメモリから秘密鍵やパスワードなどの機密データを直接読み取ることができました。OpenSSLのパッチ適用版は、公開直後にリリースされました。しかし、多くの管理者がパッチ適用を遅らせたため、攻撃者にサーバーを悪用する絶好の機会を与えてしまいました。

4. Exim メールサーバーのリモートコード実行 (CVE-2019-10149)

広く使用されているメール転送エージェントであるExim には、認証されていないリモートの攻撃者がルートとして任意のコードを実行できる重大な脆弱性がありました。

2019年6月にパッチがリリースされました。パッチ未適用のサーバーは数日以内に積極的に攻撃を受けました。セキュリティ研究者は、脆弱なEximインスタンスを探す大規模なスキャンキャンペーンを観察しました。

5. Sudo の脆弱性 (Baron Samedit – CVE-2021-3156)

昇格された権限でコマンドを実行するツールであるsudoのヒープベースのバッファオーバーフローにより、権限のないユーザーが多くのUnix系システムでルートアクセスを取得できる脆弱性がありました。この脆弱性は10年近く存在していましたが、2021年初頭にようやく公開されました。修正版はすぐにリリースされましたが、予想通り、多くのシステムは数週間から数ヶ月経っても脆弱性が残っていました。