脆弱性の悪用に適切な対策を
サポートが終了するソフトウエア製品の継続利用にはリスクが伴う。CISA(米国サイバーセキュリティ・社会基盤安全保障庁)により公開されているKEV(実際に悪用されたことが確認されている脆弱性のデータベース)によると、24年1月から9月までに公開されたWindows OSの脆弱性の悪用が確認されたとする情報が9月時点で15件登録されていることからも、被害を受ける可能性が高いと考えられるため、Windows OSの脆弱性対策は適切に実施する必要がある。
また、KEVの中でも「CVE-2024-26169」については、ランサムウエアへ感染させることを目的に悪用されているとの情報もある。サポートが終了したOSを使用し続け、仮に危険度の高い脆弱性が新たに発見された場合、製品ベンダーによる修正などの対応が期待できず、セキュリティリスクを解消することができなくなる。結果として、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止などの被害が生じる可能性が高くなる。
また、OSのサポート終了による影響は、これらOS上で稼動しているブラウザやメールソフトといったサードパーティー(第三者企業)製のソフトウエア製品にも及ぶ。例えば、OSのサポート終了に伴い、そのOS上で動作するソフトウエア製品のサポートも終了することが考えられる。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキュリティ上のリスクを抱えることになる。そのため、OSのサポート終了を見越してサードパーティー製のソフトウエア製品などの更新も実施するようにしてほしい。
OS・ソフトの更新を怠らない
ソフトウエアの動作を理由にOSやその他のソフトウエアの更新を行っていないというケースは残念ながら少なくはない。独立行政法人情報処理推進機構(IPA)が19年度に実施したサイバーセキュリティ事後対応支援実証事業において、調査対象企業に設置したUTM(統合脅威管理装置)が過去に複数のウイルスの通信先として使われたIPアドレス宛ての通信を検知した。
該当企業に確認したところ、ウイルス対策ソフト未導入の「Windows XP」搭載端末で通信をしたことが判明し、ウイルス駆除のため駆け付け対応を実施した。当該端末は、WindowsXPでしか動作しないソフトウエアを利用するためのもので、インターネットに常時接続していない認識であったことから、ウイルス対策ソフトが導入されていなかった。
本事業は19年度の実施であるが、Windows XPは14年にサポートが終了している。本事例を教訓に、OSやソフトウエアの更新を怠らないという根本的な対策に取り組んでほしい。
IPAではソフトウエアに関する脆弱性対策情報について、ホームページやSNSを通じて情報提供しているので参考にしていただきたい。
「Windows 10のサポート終了に伴う注意喚起」についてはこちら
(独立行政法人情報処理推進機構・江島将和)
最新号を紙面で読める!