IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、サポートが終了したOSについて注意を喚起している。
IPAでは、過去の2007年5月公開の「今月の呼びかけ」においても、サポートが終了したOSの危険性を取り上げた。しかし、現在でもIPAに寄せられる相談には、依然としてWindows 98/Meなどのサポートが終了したOSの利用者からの問い合わせが少なくない。また、これらのOSの使用を継続することの危険性を認識していない、企業のシステム担当者からの相談も存在したという。今回、再度この呼びかけを行う理由は、2010年7月13日(米国時間)に、Windows 2000とWindows XP Service Pack 2(SP2)のマイクロソフトによるサポートが終了するからである。改めて、その危険性を示し、対策などを紹介したい。
OS別の利用状況とサポートの終了時期
直近の1年間(2009年7月1日~2010年6月30日)にIPAに寄せられた相談について、相談者が利用していたOSの種別が表1である。2006年7月にマイクロソフトによるサポートが終了して約4年が経過しているWindows 98/Meの利用者は94件(1.3%)となっている。これらの利用者は、現在、修正プログラムも提供されないうえに、そのOS上で動作するセキュリティ対策ソフトのサポートもない状態で利用しているため、外部からの攻撃に対して無防備であり、非常に危険といえよう。
表1 相談者が利用していたOS種別(全相談中、OS種別が判別できた事案のみ集計)
OS 種別 | Windows 7 | Windows Vista | Windows XP | Windows 2000 | Windows 98/Me | Mac OS | その他 |
---|---|---|---|---|---|---|---|
相談件数 | 313 | 2,207 | 4,249 | 100 | 94 | 26 | 45 |
割合 | 4.4% | 31.4% | 60.4% | 1.4% | 1.3% | 0.4% | 0.6% |
2010年7月13日以降は、その対象が増えるということになるのだ。
サポートが終了したOSを使うことの危険性
サポートが終了したOSを使うことの最大の問題は、そのOSに対する修正プログラムが製造元から提供されなくなることである。修正プログラムが提供されないということは、OSの脆弱性が発見されても、それを解消することができなくなる。脆弱性を放置するとどうなるか?次のような危険性が想定される。
- インターネットを経由して脆弱性を悪用する攻撃を受けると、PCへの侵入などの不正アクセスを許してしまう
- 悪意あるWebサイトを閲覧するだけで、ウイルスに感染させられてしまう。
上記のような不正アクセスやウイルス感染の被害を受けたPCは、第三者を攻撃するための踏み台として利用される可能性があり、その場合、自分以外のインターネット利用者に対して攻撃をしてしまう危険性があるということを認識する必要がある。
同時に、サポートが終了したOS上で動作するアプリケーションソフトのサポートも終了するという問題も発生する。特に、セキュリティ対策ソフトのサポートが終了すると、製造元から新種のウイルスに対応するためのパターンファイルが提供されなくなり、新たに発生したウイルスに対する防御力が低下してしまうのである。
サポートを終了するOSの対処方法
以下では、OSごとにサポートが終了するOSの対処方法を紹介する。まずは、使用中のOSを確認してほしい。スタートメニューの[ファイル名を指定して実行]で、「winver」と入力するとわかるだろう。
Windows XPやVistaの場合
Windows XPやVistaは一部のバージョンでサポートが終了するが、OSを最新のバージョンにすれば、マイクロソフトによるサポートは継続する。XPはService Pack 3、VistaはService Pack 2が最新のバージョンとなっている。もし、最新でない場合は、Microsoft UpdateまたはWindows Updateを実施し、最新の状態にする。
Windows 98/Meの場合
Windows 98/Me は2006年7月にマイクロソフト社によるサポートが終了している。したがって、使用を継続するのはきわめて危険といえよう。特に、これらのOSが搭載されたPCをインターネットに接続して利用した場合、ウイルス感染などの可能性が高まる。インターネットへの接続は控え、できるだけ速やかに、最新のOSが搭載されたPCに買い換えることを勧めている。
Windows 2000 Server/Professionalの場合
Windows 2000(Server/Professional)は、2010年7月13日(米国時間)にサポートが終了する。それ以降も使用を継続するのはきわめて危険といえよう。できるだけ速やかに、サポートが継続しているOSに移行することを勧めている。特に、Windows 2000 Serverでインターネット上にサービスを提供している場合は、サポートの終了により、脆弱性を解消することができない。外部からの攻撃に無防備な状態でさらされることになる。もしウイルス感染の被害を受けた場合、サービスの利用者にも被害が拡大してしまう可能性が高い。最新のOSに移行するなどの対応が急務である。
しかしながら、システムの移行作業に時間を要する場合や経済的理由など、サポートが終了しても早期に対応することが困難なケースも想定される。その場合、一時的な回避策として、脆弱性を悪用する攻撃を防御するツールを利用する方法がある。このようなツールを使い、脆弱性を悪用する攻撃を防御しながら、移行作業の検討・実施を行うようにすべきと、IPAでは提言している。しかし、この回避策を実施しても脆弱性が根本的に解消されるわけではない。あくまでもセキュリティ上のリスクを軽減するための手段であることを認識しておく必要がある。
最後に、サポートが終了したOSが搭載されたPCを利用することの危険性を認識したうえで、どうしてもそのパソコンを使い続ける必要がある場合、ウイルス感染や不正アクセスの被害を予防するために、できる限りインターネットには接続しないこと、また、他のPCとUSBメモリなどを介するデータのやり取りを行わないようにすべきと、IPAは注意喚起している。