サポート終了、Windows XP継続利用によるセキュリティリスクとは? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.23(月)
コンテンツ
注目検索ワード
記事

サポート終了、Windows XP継続利用によるセキュリティリスクとは?

特集 特集

2014年4月9日、Windows XPの延長サポートが終了しました。

サポート終了後のセキュリティリスクについては、提供元であるマイクロソフトをはじめ、関係省庁など多方面から繰り返し注意喚起がなされているため、新OSへのアップグレードやセキュリティ対策をすませた組織も多いことでしょう。

一方、トレンドマイクロが2013年12月に行った調査からは、Windows XP延長サポート終了を見据えたセキュリティ対策は、決して十分ではない実態も明らかになりました。サポートが終了したOSのセキュリティリスクと有効な対策を解説します。

●サポート終了OS、最大のリスクは脆弱性

2014年4月9日、Windows XPの延長サポートの終了に伴い、脆弱性を修正するプログラムの提供が終了しました。つまり、4月以降にWindows OSに対する脆弱性が発見され、この脆弱性を利用する攻撃が発生したとしても、Windows XPの修正プログラムは提供されず、防御する術がないため、セキュリティリスクが増大するのです。Windows XPに限らず、サポート終了後にソフトウェアを使い続ける最大のセキュリティリスクは、こうしたセキュリティ上の欠陥、穴である脆弱性が放置されてしまう点です。

サポート終了後のソフトウェアを利用し続けるリスクを示す一つの例が、昨年発生したJava Version 6(以下 Java 6)への攻撃です。Javaは、ウェブ上のプログラムを動作させる際に使用されるプログラム言語で、多くのPCにインストールされています。Java 6のサポートは2013年2月で終了していますが、トレンドマイクロでは2013年8月以降、Javaの脆弱性を狙った新しい攻撃を継続的に確認しています。この脆弱性は、2013年6月に確認されたものであり、最新のJavaでは既に修正が行われていますが、Java 6はこの脆弱性が確認される以前にサポート終了しているため、修正が行われないままの状態となり、攻撃のリスクも高まっているのです。

Windows XPでもサポート終了後は新しい脆弱性が確認されても修正されなくなることから、このJava 6のような状態になる可能性が高いでしょう。また、古いバージョンのソフトウェアほど、脆弱性が発生しやすいという点も、セキュリティリスクを高める要因です。

●古いOSは格好のターゲットに

ソフトウェアは新しいバージョンほど、セキュリティが考慮されており、脆弱性対策が強化されていきます。このため、攻撃者にとっては、古いソフトウェアのほうが攻撃しやすく、ターゲットにしやすいのです。

古いソフトウェアほど攻撃のターゲットになりやすい例が、2013年9月にゼロデイ攻撃の発生が確認されたInternet Explorer(IE)の脆弱性(CVE-2013-3893)です。すべての IE に影響するゼロデイ脆弱性として注目され、マイクロソフトのセキュリティアドバイザリでも、影響範囲は IE 6からIE 11と注意喚起されました。これだけ見ると、Windows XP以降すべてのOSで等しく攻撃発生の危険があるように思えます。

しかし、脆弱性検証ツールの提供元であるRapid7は、確認されている攻撃コードは、「Windows XP+IE8」もしくは「Windows7+IE8/9」の環境にのみ影響するものであるとしています。つまり「Windows 7+IE10/11」や「Windows 8/8.1+IE10/11」のようなより新しい環境に対する攻撃コードはまだ確認されておらず、攻撃ターゲットとなっているのは古い環境のみ、ということが分かります。(2013年12月時点において)

この例からもわかるように、脆弱性は影響を受けるとされる全ての環境で等しく危険というわけではなく、攻撃者にとって攻撃がしにくい、利用しづらい環境が存在します。攻撃者はユーザ環境の中で、もっとも攻撃しやすいポイントを攻撃します。それがWindows XPのような古いバージョンのOSやアプリケーションなのです。攻撃者の観点で言えば、古いOSを使用している環境ではOS以外のアプリケーションも古いままである可能性が高いと考えられるため、より攻撃しやすい標的と判断されます。

●最新OSへの移行が根本対策
どうしても間に合わない場合は、早期の移行を前提にした対策を

上述してきたように、メーカーのサポート期間が終了したソフトウェアは、セキュリティのリスクが高まります。Windows XPのようにメーカーのサポートが終了するソフトウェアについては、サポートが終了する前に新しいバージョンにアップグレードすることが不可欠です。

しかし、Windows XPを利用している組織の中には、業務や運用上の都合により、2014年4月9日までにアップグレードが間に合わなかったということもあるでしょう。実際トレンドマイクロの調査からも、業務用PCでWindows XPを使用している約半数が延長サポート終了後も利用すると回答しています。その理由として、「時間の関係で移行しきれない(43.0%)」、「Windows XPでないと動かない業務アプリケーションがある(42.6%)」などがあげられ、新OSへ移行したくても、すぐには難しい企業ユーザが多いことが伺えます。

業務上の理由により、どうしてもサポート終了までには移行が難しい場合、早期の移行を前提に、セキュリティリスクを低減させるために対策を考えることが必要です。具体的にはどのようなセキュリティ対策が必要なのでしょうか。

この期間、代替手段がなく、どうしても端末を利用せざるを得ない場合、最低限必要なのは、インターネットに接続させないことです。ネットワーク経由での感染リスクを低減するために、社内LANからも接続させず、スタンドアロンでの利用を推奨します。USBなどリムーバルディスクによりほかのパソコンとデータをやり取りすることもリスクが伴います。

また、サポート終了とともに、ウイルス対策ソフトウェアのサポートが終了となる可能性もあるため、使用しているウイルス対策ソフトウェアのサポート終了期間について確認してください。ソフトウェアがインストールできない場合は、ウイルス検索・駆除できるUSB型のツールなどを利用するとよいでしょう。そして、最大のリスクである脆弱性を狙った攻撃の影響を最小限に抑える対策も重要です。先の調査では、延長サポート終了を見据え、脆弱性対策製品を導入、検討していると答えたのは半数にも満たない結果となり、脆弱性の観点で対策が十分に浸透していない現状が浮き彫りになりました。古いOSの脆弱性が放置されれば、攻撃のリスクは増大します。脆弱性を狙った攻撃を防ぐためには、脆弱性攻撃を緩和するセキュリティ対策製品を導入すべきでしょう。

サポート終了後も、やむを得ない事情で利用を続ける場合、管理者によるこうした技術的な対策のほか、利用する従業員への啓発も大切になってくるでしょう。システム上の対策、ポリシー策定、利用者への教育を徹底し、できる限り速やかに新しいOSにアップグレードすることで、セキュリティリスクを低減させ、攻撃の被害を回避するようにしましょう。

※本記事は「TREND PARKコアテク・脅威インテリジェンス」から転載しました※
《Trend Micro》

関連記事

ソース・関連リンク

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ(サイバーセキュリティクラウド) 画像

「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ(サイバーセキュリティクラウド)
長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も(IPA) 画像

長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も(IPA)
マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang) 画像

マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang)
Oracleが複数製品のクリティカルパッチアップデートを公開(JPCERT/CC、IPA) 画像

Oracleが複数製品のクリティカルパッチアップデートを公開(JPCERT/CC、IPA)
「不正アクセスで支払い方法を変更された」ソフトバンク騙るフィッシング(フィッシング対策協議会) 画像

「不正アクセスで支払い方法を変更された」ソフトバンク騙るフィッシング(フィッシング対策協議会)
「Drupal」の脆弱性を狙うアクセスの増加を確認(警察庁) 画像

「Drupal」の脆弱性を狙うアクセスの増加を確認(警察庁)

インシデント・事故 記事一覧へ

教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市) 画像

教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市)
ホームタウン活動の資料と個人情報を記録したUSBメモリを紛失(水戸ホーリーホック) 画像

ホームタウン活動の資料と個人情報を記録したUSBメモリを紛失(水戸ホーリーホック)
1年生40人分の生徒の個人情報確認用紙を紛失(大阪府) 画像

1年生40人分の生徒の個人情報確認用紙を紛失(大阪府)
2年生35人分の高校生活支援カードを紛失(大阪府) 画像

2年生35人分の高校生活支援カードを紛失(大阪府)
豊洲市場都民見学会の当選者宛のメール38名分を誤送信(東京都中央卸売市場) 画像

豊洲市場都民見学会の当選者宛のメール38名分を誤送信(東京都中央卸売市場)
メール誤送信で49名のメールアドレスが漏えい(下関市) 画像

メール誤送信で49名のメールアドレスが漏えい(下関市)

調査・レポート・白書 記事一覧へ

脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow) 画像

脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow)
2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に(CDNetworks) 画像

2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に(CDNetworks)
子どものスマートフォン利用、16.2%は何らかのトラブルに遭遇(東京都) 画像

子どものスマートフォン利用、16.2%は何らかのトラブルに遭遇(東京都)
WebサーバやCMSの脆弱性を悪用する、送信元を秘匿した攻撃が一時的に増加(ラック) 画像

WebサーバやCMSの脆弱性を悪用する、送信元を秘匿した攻撃が一時的に増加(ラック)
2017年に盗難・漏えいしたデータ数は前年比89%増加の26億件(ジェムアルト) 画像

2017年に盗難・漏えいしたデータ数は前年比89%増加の26億件(ジェムアルト)
Spring Frameworkにおける、リモートOSコマンド実行の脆弱性を検証(NTTデータ先端技術) 画像

Spring Frameworkにおける、リモートOSコマンド実行の脆弱性を検証(NTTデータ先端技術)

研修・セミナー・カンファレンス 記事一覧へ

サイバーインテリジェンス入門~マキナレコード軍司氏講演 画像

サイバーインテリジェンス入門~マキナレコード軍司氏講演
初心者向けハッキングハンズオン研修が盛況 画像

初心者向けハッキングハンズオン研修が盛況
エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演 画像

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演
トップとビリで売上3倍差!セキュリティへの取り組みが命運を分けた Hardening 2017 Fes 画像

トップとビリで売上3倍差!セキュリティへの取り組みが命運を分けた Hardening 2017 Fes
過去10回の総括、そして未来を見据える「Hardening 2017 Fes」 画像

過去10回の総括、そして未来を見据える「Hardening 2017 Fes」
CASBのダークサイド ~ その誤解と導入後の課題 画像

CASBのダークサイド ~ その誤解と導入後の課題

製品・サービス・業界動向 記事一覧へ

ブロックチェーン技術で改ざんや消失を防ぐ文書管理ソリューション(MKI) 画像

ブロックチェーン技術で改ざんや消失を防ぐ文書管理ソリューション(MKI)
独自の秘密分散技術によりデータを無意味化するエンジンを提供(ZenmuTech) 画像

独自の秘密分散技術によりデータを無意味化するエンジンを提供(ZenmuTech)
コネクテッドカーと安全に情報をやり取りするために高セキュリティのITバックエンドを構築(BMWグループ) 画像

コネクテッドカーと安全に情報をやり取りするために高セキュリティのITバックエンドを構築(BMWグループ)
UTM内蔵ネットワークストレージの新製品、機密データを守る新機能を搭載(村田機械) 画像

UTM内蔵ネットワークストレージの新製品、機密データを守る新機能を搭載(村田機械)
「i-FILTER」と「m-FILTER」をクラウドサービスとして提供(デジタルアーツ) 画像

「i-FILTER」と「m-FILTER」をクラウドサービスとして提供(デジタルアーツ)
認証アプライアンスをクラウドサービス化、私物端末の検出にも対応(ソリトン) 画像

認証アプライアンスをクラウドサービス化、私物端末の検出にも対応(ソリトン)

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像

[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ
ScanNetSecurity 創刊 18 周年の御礼 画像

ScanNetSecurity 創刊 18 周年の御礼
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×