ホーム > mixiニュース > IT・インターネット > IT総合 > Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は?

Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は?

1

2019年05月23日 07:12  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真脆弱性(CVE-2019-0708)に関する発表=MicrosoftのWebサイトより
脆弱性(CVE-2019-0708)に関する発表=MicrosoftのWebサイトより

 セキュリティ対策の基本の1つは「最新のパッチを適用すること」です。不正アクセスの多くは、OSやアプリケーションに存在する脆弱性を突いて行われます。従って、最新のパッチを適用して脆弱性を修正すればリスクは減らせます。



【ランサムウェアの感染画面】



 ということで、多くのソフトウェアベンダーやオープンソースソフトウェア開発コミュニティーは、何らかの脆弱性が発覚したり、指摘されたりすると、それらを修正するパッチや新バージョンをリリースしています。中でも米Microsoftは毎月第2火曜日(日本時間では水曜日)に、定期的にセキュリティ更新プログラムを提供してきました。



 ただ、2019年5月の更新プログラムには、ちょっと驚くことがありました。脆弱性の影響を受け、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムが用意されたことです。



 Windows XPは14年4月、Windows Server 2003は15年7月と、数年前にサポートが終了しています。サポート終了とは、それ以降はたとえ脆弱性が発覚しても、修正プログラムは提供されず、攻撃のリスクにさらされることを意味します。今回は、その原則を破ったパッチ提供というわけです。



●繰り返される「例外措置」の背景



 この「例外措置」は、今回が初めてではありません。実は、サポートが終了した直後の14年5月に早速、Windows XP向けも含めた緊急アップデートが提供されたことがありました。またご記憶の方も多いでしょうが、ランサムウェア「WannaCry」が急激に拡散した17年5月にも、「極めて異例の手段」として、Windows XPやWindows Server 2003向けに、WannaCryが悪用するSMBv1の脆弱性を修正するプログラムを公開しました。



 そして今回のパッチ提供です。Microsoftは特例措置の理由を、「この脆弱性を悪用するマルウェアが開発されると、WannaCryのように脆弱な端末に感染が広がる可能性があるから」と説明しています。



 WannaCryであらためて認識された通り、ネットワークにつながっているだけで感染する「ワーム」のインパクトは甚大です。ひとたび感染が広がると、駆除したと思っても別の端末でまた感染が発覚して“モグラたたき”のような状態になり、完全に駆除するまでには大きな手間がかかります。19年に入っても、いまだにWannaCryの感染事例が報告されるほどです。Microsoftはおそらく、こうした対応の手間や影響の大きさを考えて「例外措置」の判断を下したのでしょう。



 これ自体はありがたいことなのですが、複雑な気持ちにもなります。サポートが終了してから5年間がたった現在でも、いまだに無視できない数のWindows XPが動作していることの裏返しだからです。事実、米調査会社Net ApplicationsがまとめているOSシェア情報によると、19年4月の時点でも、Windows XPのシェアが2.46%あることが分かります。



 ほんの2〜3%ならば切り捨ててしまってもいいのではないか、という意見があるかもしれません。けれど、しばしばセキュリティは「鎖」に例えられる通り、システムやネットワークを構成するどこか1カ所に脆弱なポイントがあれば、そこが侵入の糸口になって社内の他のシステムに拡散したり、悪いときには他者に攻撃を仕掛ける基盤になってしまう恐れがあります。インターネット全体の健全性を高めるには、弱いところほどきちんと手当てしなければなりません。



 ならば、サポート終了に伴って新しいOSにバージョンアップすべきだ、それがオーナーとしての責任ではないか――これは言うまでもなく正論です。



 ただ、実際に取材してみると、「予算がない」「今まで動かしてきたこのアプリケーションがないと、仕事ができない」といった悩みを持つ企業も、特に中小・零細規模では多いと聞きます。セキュリティを重視する立場からは「そんなの言い訳だ、最新の環境にすべきだ」と切って捨てたくなるところですが、おそらく、それでは問題は解決しないでしょう。現に、Windows 7のサポート終了に伴って、今まさにWindows 10への移行を進めている企業も多いと思います。移行率95%、98%までは達成できても、それを99%、99.999%、100%に持っていくのは非常に難しいことです。



 サポート切れOSへの対応は、高齢者の免許返納制度に似た部分があるのではないかと思います。身体・認知能力の衰えを考えると免許返納がベストですが、そうすると、買い物や通院といった日常生活が成り立たず、やむを得ず運転を続ける高齢者が、特に地方では多いと聞きます。遠回りですが、周囲からその危険性を説得し、また移行しやすい代替手段も提供して、今の状態を続けることのリスクを本人に認識してもらうことが大切なのでしょう。



 OS移行も同じように、多面的な取り組みが必要だと思います。今回のように、リスクや影響があまりに深刻な場合は例外的な措置を取りつつも、それに甘んじることなく「最新のOS、最新の環境を利用すべき」という認識を繰り返し伝え、代替手段も紹介しながら、古い環境からの移行を後押ししていかなければなりません。それでもどうしても使い続けたいという場合は、絶対にインターネットにつなげない環境で使う、もしくはせめて例外措置で提供される更新プログラムは必ず適用し、追加のセキュリティ対策も導入して守るなど、自分はもちろん周囲にも影響の及ばない折衷案を取るのも1つの手でしょう。



●意識していない、把握していないデバイスにもリスクが潜む



 今回の緊急措置で修正される脆弱性(CVE-2019-0708)は、リモートデスクトップサービス(RDS)に存在するものです。リモートアクセスや監視用に広く利用されている機能ですが、そこで利用される「RDP」というプロトコルで細工を施したリクエストを送信すると、リモートから任意のコードを実行できてしまう恐れがあります。



 このRDPはPCのみならず、IoT機器や組み込み機器、さらに産業用制御機器でも広く利用されており、それゆえに実際に、いくつかのIoTボットやマルウェアに悪用されています。海外では、納入したベンダーが遠隔サポートのために、導入企業すら認識しない形で使われているケースがあり、それがランサムウェアや他のマルウェアなどさまざまな侵害の足掛かりになっているのです。



 古いWindows OSに関してもう1つ注意が必要なのはここです。オフィスで使われるデスクトップPCについてはきちんと台帳を作り、把握していても、IoTや組み込み機器でどんなWindowsが動いているのか、サポート期限は切れているのか、それはネットワークにつながっているのか……といった事柄には無頓着な場合が少なくありません。



 使っている方は無頓着でも、攻撃する方は、ShodanやCensysなどの検索エンジンを使って脆弱な機器を容易に特定できてしまいます。認識していないデバイスも、同じようにリスクにさらされていることをぜひ意識していただきたいと思います。


あなたにおすすめ

ランキングIT・インターネット

前日のランキングへ

ニュース設定