サポート終了、Windows XP継続利用によるセキュリティリスクとは? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.02.24(日)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

サポート終了、Windows XP継続利用によるセキュリティリスクとは?

脆弱性は全ての環境で等しく危険というわけではなく、攻撃者にとって攻撃がしにくい、利用しづらい環境が存在します。攻撃者はユーザ環境の中で、もっとも攻撃しやすいポイントを攻撃します。それがWindows XPのような古いバージョンのOSやアプリケーションなのです。

特集 特集
2014年4月9日、Windows XPの延長サポートが終了しました。

サポート終了後のセキュリティリスクについては、提供元であるマイクロソフトをはじめ、関係省庁など多方面から繰り返し注意喚起がなされているため、新OSへのアップグレードやセキュリティ対策をすませた組織も多いことでしょう。

一方、トレンドマイクロが2013年12月に行った調査からは、Windows XP延長サポート終了を見据えたセキュリティ対策は、決して十分ではない実態も明らかになりました。サポートが終了したOSのセキュリティリスクと有効な対策を解説します。

●サポート終了OS、最大のリスクは脆弱性

2014年4月9日、Windows XPの延長サポートの終了に伴い、脆弱性を修正するプログラムの提供が終了しました。つまり、4月以降にWindows OSに対する脆弱性が発見され、この脆弱性を利用する攻撃が発生したとしても、Windows XPの修正プログラムは提供されず、防御する術がないため、セキュリティリスクが増大するのです。Windows XPに限らず、サポート終了後にソフトウェアを使い続ける最大のセキュリティリスクは、こうしたセキュリティ上の欠陥、穴である脆弱性が放置されてしまう点です。

サポート終了後のソフトウェアを利用し続けるリスクを示す一つの例が、昨年発生したJava Version 6(以下 Java 6)への攻撃です。Javaは、ウェブ上のプログラムを動作させる際に使用されるプログラム言語で、多くのPCにインストールされています。Java 6のサポートは2013年2月で終了していますが、トレンドマイクロでは2013年8月以降、Javaの脆弱性を狙った新しい攻撃を継続的に確認しています。この脆弱性は、2013年6月に確認されたものであり、最新のJavaでは既に修正が行われていますが、Java 6はこの脆弱性が確認される以前にサポート終了しているため、修正が行われないままの状態となり、攻撃のリスクも高まっているのです。

Windows XPでもサポート終了後は新しい脆弱性が確認されても修正されなくなることから、このJava 6のような状態になる可能性が高いでしょう。また、古いバージョンのソフトウェアほど、脆弱性が発生しやすいという点も、セキュリティリスクを高める要因です。

●古いOSは格好のターゲットに

ソフトウェアは新しいバージョンほど、セキュリティが考慮されており、脆弱性対策が強化されていきます。このため、攻撃者にとっては、古いソフトウェアのほうが攻撃しやすく、ターゲットにしやすいのです。

古いソフトウェアほど攻撃のターゲットになりやすい例が、2013年9月にゼロデイ攻撃の発生が確認されたInternet Explorer(IE)の脆弱性(CVE-2013-3893)です。すべての IE に影響するゼロデイ脆弱性として注目され、マイクロソフトのセキュリティアドバイザリでも、影響範囲は IE 6からIE 11と注意喚起されました。これだけ見ると、Windows XP以降すべてのOSで等しく攻撃発生の危険があるように思えます。

しかし、脆弱性検証ツールの提供元であるRapid7は、確認されている攻撃コードは、「Windows XP+IE8」もしくは「Windows7+IE8/9」の環境にのみ影響するものであるとしています。つまり「Windows 7+IE10/11」や「Windows 8/8.1+IE10/11」のようなより新しい環境に対する攻撃コードはまだ確認されておらず、攻撃ターゲットとなっているのは古い環境のみ、ということが分かります。(2013年12月時点において)

この例からもわかるように、脆弱性は影響を受けるとされる全ての環境で等しく危険というわけではなく、攻撃者にとって攻撃がしにくい、利用しづらい環境が存在します。攻撃者はユーザ環境の中で、もっとも攻撃しやすいポイントを攻撃します。それがWindows XPのような古いバージョンのOSやアプリケーションなのです。攻撃者の観点で言えば、古いOSを使用している環境ではOS以外のアプリケーションも古いままである可能性が高いと考えられるため、より攻撃しやすい標的と判断されます。

●最新OSへの移行が根本対策
どうしても間に合わない場合は、早期の移行を前提にした対策を

上述してきたように、メーカーのサポート期間が終了したソフトウェアは、セキュリティのリスクが高まります。Windows XPのようにメーカーのサポートが終了するソフトウェアについては、サポートが終了する前に新しいバージョンにアップグレードすることが不可欠です。

しかし、Windows XPを利用している組織の中には、業務や運用上の都合により、2014年4月9日までにアップグレードが間に合わなかったということもあるでしょう。実際トレンドマイクロの調査からも、業務用PCでWindows XPを使用している約半数が延長サポート終了後も利用すると回答しています。その理由として、「時間の関係で移行しきれない(43.0%)」、「Windows XPでないと動かない業務アプリケーションがある(42.6%)」などがあげられ、新OSへ移行したくても、すぐには難しい企業ユーザが多いことが伺えます。

業務上の理由により、どうしてもサポート終了までには移行が難しい場合、早期の移行を前提に、セキュリティリスクを低減させるために対策を考えることが必要です。具体的にはどのようなセキュリティ対策が必要なのでしょうか。

この期間、代替手段がなく、どうしても端末を利用せざるを得ない場合、最低限必要なのは、インターネットに接続させないことです。ネットワーク経由での感染リスクを低減するために、社内LANからも接続させず、スタンドアロンでの利用を推奨します。USBなどリムーバルディスクによりほかのパソコンとデータをやり取りすることもリスクが伴います。

また、サポート終了とともに、ウイルス対策ソフトウェアのサポートが終了となる可能性もあるため、使用しているウイルス対策ソフトウェアのサポート終了期間について確認してください。ソフトウェアがインストールできない場合は、ウイルス検索・駆除できるUSB型のツールなどを利用するとよいでしょう。そして、最大のリスクである脆弱性を狙った攻撃の影響を最小限に抑える対策も重要です。先の調査では、延長サポート終了を見据え、脆弱性対策製品を導入、検討していると答えたのは半数にも満たない結果となり、脆弱性の観点で対策が十分に浸透していない現状が浮き彫りになりました。古いOSの脆弱性が放置されれば、攻撃のリスクは増大します。脆弱性を狙った攻撃を防ぐためには、脆弱性攻撃を緩和するセキュリティ対策製品を導入すべきでしょう。

サポート終了後も、やむを得ない事情で利用を続ける場合、管理者によるこうした技術的な対策のほか、利用する従業員への啓発も大切になってくるでしょう。システム上の対策、ポリシー策定、利用者への教育を徹底し、できる限り速やかに新しいOSにアップグレードすることで、セキュリティリスクを低減させ、攻撃の被害を回避するようにしましょう。

※本記事は「TREND PARKコアテク・脅威インテリジェンス」から転載しました※
《Trend Micro》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「azure-umqtt-c」にDoS攻撃を受ける脆弱性(JVN) 画像

「azure-umqtt-c」にDoS攻撃を受ける脆弱性(JVN)
三井住友カードを騙るフィッシング報告、注意を呼びかけ(フィッシング対策協議会) 画像

三井住友カードを騙るフィッシング報告、注意を呼びかけ(フィッシング対策協議会)
1位から4位をマイニングマルウェアが占める--月例レポート(チェック・ポイント) 画像

1位から4位をマイニングマルウェアが占める--月例レポート(チェック・ポイント)
国内改ざんサイトの実例を紹介(デジタルアーツ) 画像

国内改ざんサイトの実例を紹介(デジタルアーツ)
複数の理由で「アカウント検証」をクリックさせようとするAmazon偽メール(フィッシング対策協議会) 画像

複数の理由で「アカウント検証」をクリックさせようとするAmazon偽メール(フィッシング対策協議会)
アドビ「Creative Cloud Desktop Application」に任意コード実行の脆弱性(JVN) 画像

アドビ「Creative Cloud Desktop Application」に任意コード実行の脆弱性(JVN)

インシデント・事故 記事一覧へ

保健所に提出予定の「事例報告書」と「予防接種経過報告書」を決裁の回付中に紛失(大阪市) 画像

保健所に提出予定の「事例報告書」と「予防接種経過報告書」を決裁の回付中に紛失(大阪市)
巨大情報漏えいファイル群「コレクション・ナンバーワン」発見、日本人アドレス2,000万件含(ソリトン) 画像

巨大情報漏えいファイル群「コレクション・ナンバーワン」発見、日本人アドレス2,000万件含(ソリトン)
57名分の通知表などを含む個人情報が保存されたUSBメモリを教諭が紛失(一戸町) 画像

57名分の通知表などを含む個人情報が保存されたUSBメモリを教諭が紛失(一戸町)
チケットの案内に関するメール誤送信、データ編集時の操作ミスでアドレスと顧客情報にズレ(阪神タイガース) 画像

チケットの案内に関するメール誤送信、データ編集時の操作ミスでアドレスと顧客情報にズレ(阪神タイガース)
フィッシングメールで教員と学生のパスワードが盗取、3,727件のメールが外部に不正転送(東京理科大学) 画像

フィッシングメールで教員と学生のパスワードが盗取、3,727件のメールが外部に不正転送(東京理科大学)
誤って宛先にグループ化したアドレスを設定し送信(宮城県) 画像

誤って宛先にグループ化したアドレスを設定し送信(宮城県)

調査・レポート・白書 記事一覧へ

短時間で影響を広げる国家主導のサイバー攻撃者グループ(CrowdStrike) 画像

短時間で影響を広げる国家主導のサイバー攻撃者グループ(CrowdStrike)
メールサーバセキュリティ診断の結果、61%が「要改善」(デージーネット) 画像

メールサーバセキュリティ診断の結果、61%が「要改善」(デージーネット)
Telnetへの攻撃は大きく減少するも、半数以上がIoT機器を狙う攻撃(NICT) 画像

Telnetへの攻撃は大きく減少するも、半数以上がIoT機器を狙う攻撃(NICT)
Windows10 導入企業 4 割がセキュリティ強化のためと回答(GfKジャパン) 画像

Windows10 導入企業 4 割がセキュリティ強化のためと回答(GfKジャパン)
宅配便業者を騙るSMSと、セクストーションメールが急増(IPA) 画像

宅配便業者を騙るSMSと、セクストーションメールが急増(IPA)
フィッシングメールの相談が増加、BECも4件の情報提供(IPA) 画像

フィッシングメールの相談が増加、BECも4件の情報提供(IPA)

研修・セミナー・カンファレンス 記事一覧へ

セコムとソリトンが語る、NGAV と EDR 導入・運用の「ユーザーの現実」 画像

セコムとソリトンが語る、NGAV と EDR 導入・運用の「ユーザーの現実」
マイニングマルウェアを脆弱性影響分析に活用 - LACのアイデア 画像

マイニングマルウェアを脆弱性影響分析に活用 - LACのアイデア
NGAV・EDRは怖くない、一人情シス安心の賢いセキュリティ対策を紹介(ソリトン、セコムトラストシステムズ) 画像

NGAV・EDRは怖くない、一人情シス安心の賢いセキュリティ対策を紹介(ソリトン、セコムトラストシステムズ)
未来の重要セキュリティ職種「スレットハンター」とは 画像

未来の重要セキュリティ職種「スレットハンター」とは
インテリジェンスと標準化をキーワードに考えるセキュリティ戦略セミナー(SHIFT SECURITY) 画像

インテリジェンスと標準化をキーワードに考えるセキュリティ戦略セミナー(SHIFT SECURITY)
機械学習・ディープラーニングの安全なセキュリティへの活用 画像

機械学習・ディープラーニングの安全なセキュリティへの活用

製品・サービス・業界動向 記事一覧へ

サイバーセキュリティ総務大臣奨励賞:中島明日香氏、神薗雅紀氏、島根県邑南町など受賞(総務省) 画像

サイバーセキュリティ総務大臣奨励賞:中島明日香氏、神薗雅紀氏、島根県邑南町など受賞(総務省)
中小企業のIT市場、2018年は前年比1.5%増の4兆1,214億円(IDC Japan) 画像

中小企業のIT市場、2018年は前年比1.5%増の4兆1,214億円(IDC Japan)
実証実験実施、無線リソース不足時の安全な自動運転(NEC) 画像

実証実験実施、無線リソース不足時の安全な自動運転(NEC)
平時トラフィックを機械学習、DDoS攻撃防御を自動化(A10) 画像

平時トラフィックを機械学習、DDoS攻撃防御を自動化(A10)
経営層も巻き込み攻撃シナリオ作成、レッドチーム演習サービス(ニュートン・コンサルティング) 画像

経営層も巻き込み攻撃シナリオ作成、レッドチーム演習サービス(ニュートン・コンサルティング)
持ち出し端末にもWebフィルタリング適用、クラウド型サービス(ALSI) 画像

持ち出し端末にもWebフィルタリング適用、クラウド型サービス(ALSI)

おしらせ 記事一覧へ

記事に関するお詫びと訂正:メール誤送信を助長する表現について 画像

記事に関するお詫びと訂正:メール誤送信を助長する表現について
【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×