Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Windows XPのサポート期間が6カ月を切る - 延命にも限界あり、移行プランの策定を

「Windows XP」および「Office 2003」のサポート終了まで、ついに6カ月を切った。サポート終了日は2014年4月9日。同日以降、脆弱性を修正するセキュリティ更新プログラムが提供されなくなる。延命対策も一部で提供されているが、「常時ゼロデイ」を防ぐことに限界があることを、認識しておく必要がありそうだ。

「Windows XP」が登場したのは12年前の2001年。その後インターネット上の脅威は、「量」「質」ともに大きく変化し、当時の設計では、脅威へもはや対応できない状況となっており、マイクロソフトでは、多層防御を導入している新バージョンへのアップグレードを呼びかけている。

同社による脆弱性の修正状況を見ると、2013年8月までの8カ月間にマイクロソフトが提供したセキュリティ更新の85%が「Windows XP」および「Office 2003」を対象としていた。これらの半数は深刻度「緊急」にレーティングされており、「重要」を含めると95%にのぼる。

いずれも「Windows」や「Windows関連プログラム」だが、「Internet Explorer」に関連する脆弱性も多い。「IE 8」については2014年4月以降もサポート対象だが、「Windows XP」上の「IE 8」上についてはサポートが終了する。

2013年末までの1年間に修正される脆弱性は、「緊急」が86件、「重要」が74件にのぼるとの試算もあり、2014年以降も同様に脆弱性への対処が必要になることが予測されるが、4月で更新プログラムの提供は打ち切られる。

また「サポートの終了」がもたらす脅威は、修正手段を失うだけではない。「Windows XP」における脆弱性の存在の有無、影響の大きさなど、同社より公表されることがなくなるため、危険性を把握することすら困難な状態に陥る。

一方で、予算の関係などから移行が進んでいない企業や自治体も存在する。こうした状況を受けて、シンクライアントやアプリ制御など、「Windows XP」を延命させるためのさまざまなソリューションも登場している。ウイルス対策製品も、こぞって2014年4月以降も引き続きサポートすることを表明した。

しかし、日本マイクロソフトでチーフセキュリティアドバイザーを務める高橋正和氏は、「(サポート終了以降)Windows XPが動作している以上、危険性があると考えて欲しい」と警鐘を鳴らす。

同氏は、2014年4月に移行がまにあわない場合も、まずは移行プランを立ててほしいと訴える。「移行プランを検討することにより、はじめて現実的な問題や脅威などが議論のテーブルに載る」と脅威について正しく認識することの重要性を指摘する。

同氏は、サポート終了後について「常時ゼロデイ状態」であると危険性を表現。延命ソリューションを活用する場合も、「攻撃を受けることを前提に運用してほしい」とアドバイスする。

たとえば、ウイルス対策製品の多くは、脆弱性を保護するものではない。脆弱性を攻撃するマルウェアが作成され、ウイルス対策製品で検知できないことを確認した上で配布されれば、脆弱性が攻撃を受けてしまう可能性がある。

サポートの延長を表明したウイルス対策製品のセキュリティベンダー自身も、そのほとんどがOSのアップグレードを推奨している。XP終了後も引き続きサポートが提供されるとはいえ、「移行までの時間稼ぎ」であり、過度な期待は禁物だろう。

(武山知裕/Security NEXT - 2013/10/10 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大
「公的個人認証サービス」のインストーラに再び脆弱性
PwCサイバーサービス、IoT機器の脆弱性検査に特化したラボを開設
Mozilla、「Firefox 57.0.1」で脆弱性2件を解消
複数のバッファロー製ルータに脆弱性 - アップデートが公開
「Apache Struts 2」の「RESTプラグイン」に脆弱性 - DoS攻撃受けるおそれ
プリンストン製モバイルストレージに複数の脆弱性