サポート終了後に潜むリスク
2023年1月10日、Microsoft社が提供しているOS(基本ソフトウエア)である「Windows8・1」のサポートが終了した。また、同社が提供する「Windows7」「Windows Server2008」「Windows Server2008R2」のサポート終了から3年が経過し、拡張セキュリティ更新プログラム(ESU)のサポートも終了となった。一般的にサポート終了後は新たな脆弱(ぜいじゃく)性が発見されても、製品ベンダー(販売会社)による修正が行われない。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止などの被害を受ける可能性が高くなる。対象OSを使用しているユーザーは、速やかな最新版への移行などの対応が求められる。
また、OSのサポート終了による影響は、これらOS上で稼動しているブラウザーやメールソフトといったサードパーティー(第三者企業)製のソフトウエア製品にも及ぶ。
例えば、OSのサポート終了に伴い、そのOS上で動作するソフトウエア製品のサポートも終了することが考えられる。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキュリティ上のリスクを抱えることになる。そのため、OSのサポート終了を見越してサードパーティー製のソフトウエア製品などの更新も実施するようにしてほしい。
脆弱性対策情報を提供中
サポート終了OSでウイルス感染した事例を紹介する。
独立行政法人情報処理推進機構(IPA)が19年度に実施したサイバーセキュリティ事後対応支援実証事業42(URL参照)において、調査対象企業に設置したUTM(統合脅威管理装置)が過去に複数のウイルスの通信先として使われたIPアドレス宛ての通信を検知した。該当企業に確認したところ、ウイルス対策ソフト未導入の「Windows XP」搭載端末で通信をしたことが判明し、ウイルス駆除のため駆け付け対応を実施した。
当該端末は、Windows XPでしか動作しないソフトウエアを利用するためのもので、インターネットに常時接続していない認識であったことから、ウイルス対策ソフトが導入されていなかった。今回、社内プリンターを使用するために社内LANに接続したことで、意図せずインターネットに接続されていたことが判明した。当該端末に対しウイルススキャンを実施したところ、ワームやトロイの木馬、迷惑ソフトなど計25ファイルの不正プログラムを発見したため駆除を実施した。【神奈川県・サービス業・51~100人規模】
ソフトウエアの動作を理由にOSやその他のソフトウエアの更新を行っていないというケースは残念ながら少なくはない。本事例を教訓に、OSやソフトウエアの更新を怠らないという根本的な対策に取り組んでほしい。もしも、一時的にでも古いOSやソフトウエアを利用しなければならない場合は、専門家に相談の上対策を多層的に行うことで、外部からのサイバー攻撃を防御・検知する仕組みを構築してほしい。
IPAではソフトウエアに関する脆弱性対策情報について、ホームページやTwitterを通じて情報提供しているので参考にしていただきたい。
(独立行政法人情報処理推進機構・江島将和)
「中小企業向けサイバーセキュリティ事後対応支援実証事業の報告書について」はこちら
