2010年3月9日

三輪信雄＝Ｓ＆Ｊコンサルティング 代表取締役

• Tweet
• 
• 
• 

　日本では多くの企業でWindows XP SP2とWindows 2000が使われています。なぜなら、業務で利用しているアプリケーションやミドルウエアが、新しいOSやサービスパックに対応していないからです。

　さらにこの世界的不況の中、新規アプリケーションの開発すらままならない中、古い業務アプリケーションのバージョンアップなどに費やす余裕などはありません。そんな中、ついにWindows XP SP2とWindows 2000に対するマイクロソフトの延長サポートが2010年7月13日（米国時間）に終了となります。

　この7月13日以降、対象となるOSについては、新規のセキュリティパッチは提供されなくなります。つまり、この日以降に他のサポート期間中のOSにパッチが提供されても、これらのサポート終了製品には新しいパッチは提供されません。

　また、Windows XP SP2を使っている企業の多くはIE6を使用しています。このIE6はセキュリティの観点から見ると危険なWebブラウザーであるということは既に知られています。つまり、OSが古いうえにWebブラウザーまで古いということになります。

　この状況がどういう意味を持つかと言えば、7月13日以降にこれらのOSやWebブラウザーのぜい弱性を突いた攻撃に遭った場合には、何の抵抗もできずに業務停止に追い込まれる可能性があるということなのです。

　攻撃に遭うと言うと、自分の会社には縁がないことだと思うかもしれませんが、いわゆるガンブラーの影響で改ざんされたホームページを閲覧しただけで感染することはもはや日常的になってきています。

　さらに、古いOSやWebブラウザーを使う企業を狙い撃ちした標的型攻撃が来たらどうなるでしょうか？　7月13日以降に「十分に既知のぜい弱性」を突いたリンク先の記されたメールや添付ファイルが送られてきた場合に、いとも簡単にウイルスに感染させることができてしまいます。

　最新のパッチを当て続けることができたとしても十分とは言えないということはこの連載で何度も書いてきましたが、それとは比較にならないくらい危険な状況に置かれるということです。

　では、こういう企業はどうすればいいでしょうか？方法は2つです。

• 直ちに業務アプリケーションの改修を行い、Windowsをバージョンアップする
• インターネットの利用を禁止する（ホームページ閲覧、メール受信など）

　いずれにしても対応は非常に困難です。マイクロソフトは何年も前から延長サポートが切れてしまうことを周知してきましたが、多くの企業で対応が後手に回っています。しかも、昨今のガンブラー騒ぎは衰えを見せていません。

　また、2014年4月までサポートが提供されるSP3にWindows XP SP2から移行したとしても、WebブラウザーがIE6ではセキュリティ対策としては大きな欠陥を残します。併せてIE8もしくはFirefoxなどへの移行を実施すべきです。

　最近のガンブラーなどのぜい弱性を突いた攻撃を見ていると、いちいちプログラムを一から書いているのではなく、部品を組み合わせて作られていることがよく分かります。新しいぜい弱性が発見されれば直ちにその部分だけをモジュールとして作って、既存の部品と組み合わせて攻撃プログラムができてしまうのです。

　この「Xデー」に対しては言い訳は通じません。予算がないとか、業者が対応してくれないとかいうことは自分たちの中でしか通じません。取引先、顧客に対してはこれらの「言い訳」は「無責任」と取られてしまうことでしょう。

　私の知っている多くの企業でこれらのOSやWebブラウザーが今でも使われています。特に大企業ほどこの状況は顕著です。むしろ中小企業は自前で業務アプリケーションを開発していないことが多く、市販のパッケージソフトを使用しているために問題がないことが多いようです。

　「個人情報保護方針」を掲げている大企業であってもサポートの切れた業務アプリケーションで顧客情報を守ることはできません。早急な対応を検討すべきでしょう。

連載目次（新着順）

• （最終回）これからの企業におけるセキュリティ対策はこう変わる
• セキュリティポリシー、分厚い規定集から平易なマニュアルへ
• 「情報漏洩の形跡が見当たらない」は「情報漏洩がない」ではない
• グローバル企業のWebサイトを守るのが困難に
• ソニーの情報漏洩に悪用されたSQLインジェクションとは

 目次一覧へ

関連記事

検索中

サポート切れ

column_LEAF

1010959

キーワード

サポート切れ

節電と事業継続計画の策定を支援する「節電・BCPオンライン」をスタート