Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Windows XPの非公式アップデートに注意 - トラブルのおそれ

4月にサポートが終了した「Windows XP」に対して、セキュリティ更新プログラムを非公式に適用する手法が公開された。しかしながら、技術的な検証など行われておらず、日本マイクロソフトでは危険性を指摘している。

今回明らかとなったのは、サポートが終了した「Windows XP」の一部レジストリを操作することで、組み込み機器など特定の用途に限定して提供されている「Windows XP Embedded」の更新プログラムを、「Windows XP」へ適用する手法が公表されたもの。

「Windows XP Embedded」は、組み込み機器向けにカスタマイズできるよう用意されたOS。クライアント向け製品に比べてサポート期間が長いのが特徴。コンポーネントが分割されているが、「Windows XP」とバイナリ互換となっている。

特に今回非公式のアップデート手法で利用された「Windows Embedded POSReady 2009」は、2009年にリリースされたPOS向けのOSであり、サポート終了日は2019年4月9日と5年先だ。セキュリティ更新プログラムは、同OSが組み込まれた機器を販売するOEMメーカーだけでなく、「Windows Update」経由でも提供されており、これをアップデートに利用した。

今回明らかとなった手法に対し、日本マイクロソフトでは、入手できるとされるセキュリティ更新プログラムは、あくまで「Windows Embedded」や「Windows Server 2003」向けに作られたものであり、「Windows XP」を保護できるものではないとコメント。「Windows XP」においてテストを実施しておらず、不具合が発生するリスクがあることを強調した。

一方で今回の問題に対し、同社はメディアの取材に対して、技術的な課題を挙げ、危険性を指摘するにとどめており、それ以上については静観している模様だ。具体的な対抗措置なども、現時点では発表していない。

しかし、クライアント向けOSとEmbedded製品ではまったく異なったライセンス体系で提供されており、ライセンス違反となる可能性が高い。利用環境も大きく異なり、トラブル防止などを理由に、今後技術的な対策が講じられることも予測される。

また技術的な問題はもちろん、法的な側面からも問題があり、Windows XPからの移行が遅れている企業や組織にとって有効な対応策とはならない。従来通り、OSの切り替えが必要となる状況に変わりなく、地道に対策を講じていくしかなさそうだ。

(Security NEXT - 2014/06/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

医療業界やサプライチェーン狙う攻撃グループを確認 - 標的はレガシーシステムか
米政府、北朝鮮製の破壊型マルウェアの情報を公開 - Windows XP向け機能も
「Windows 7」「WS 2008」の移行準備を - 攻撃増加懸念される東京五輪直前にサポート終了
富士通SSL、IoTや組込機器向けに不正プログラム対策 - 製造メーカーへ供給
「Petya」も狙う「MS17-010」の脆弱性、少なくとも4000万台弱の未修正端末が稼働
MS、「Windows XP」などサポート終了OS向けに緊急パッチ - LAN内端末狙う「WannaCrypt」対策で
MS、国家関与などで脅威高まる脆弱性を公表 - 旧OSにパッチ供給、ゼロデイ脆弱性にも対応
サポート終了「IIS 6.0」の脆弱性を狙う攻撃を観測 - ただちに対策を
「WannaCrypt」の復号キーをメモリから取得する「WannaKey」
「WannaCrypt」感染の9割超が「Windows 7」- 「Windows 10」でも