ソフトウェアを永久に使い続けることは難しい。なぜなら時と共に進歩するIT技術はソフトウェアが動作する基盤を書き換え、環境を常に変化させる存在だからである。その1例がセキュリティ対策だ。IT技術の発展はサイバー攻撃の多様性を生み出し、一昔前のファイヤーウォールで防壁を構築しても完全な防御は難しく、現在では"侵入されることを前提にしたインシデント対応"が主流だ。
たとえば、10年前のソフトウェアは、それ以前のIT技術で設計・開発しているため、セキュリティ対策も同様に10年前以上の発想を用いている。だからこそソフトウェアはサポート期間を設けているのだ。
「Office 2007」のサポートが終了
さて、日本マイクロソフトはビジネスにも利用するソフトウェアに対し、Service Packを併用して最大10年間(最低5年間のメインストリームサポートと最低5年間の延長サポート)のサポート期間を設けているが、2007年1月にリリースした「Office 2007」は、機能拡張や修正などを行うメインストリームサポート期間を2012年10月に終了。セキュリティに対する脆弱性やバグフィックスを行う延長サポート期間は2017年10月10日で終了する。
ビジネスデータを人質に金銭を要求!?
もちろん翌日の10月11日になると、途端にOffice 2007が起動しなくなる訳ではない。そのまま日常業務を続けることは可能だが、延長サポートフェーズの終了は、ボクシングでいうところの"サンドバッグ状態"を意味する。Office 2007に新たな脆弱性が発見されたと仮定しよう。攻撃者はそれを利用したサイバー攻撃ツールを使って、利用者のPCに攻撃を仕掛けてくる。個人所有のPCを仕事でも利用するケースは珍しくないが、重要なビジネスデータを人質に金銭を要求するランサムウェアに感染した日には目も当てられない。
先日世間を騒がせたWannaCryは、ファイル共有などに用いるプロトコルSMB v1の脆弱性を利用し、複数のツールをPCに侵入させるランサムウェアだった。感染したPCは別の攻撃ツールを起動してファイルデータを暗号化し、PC所有者がビットコインを支払うまで復号化しないという。
WannaCryの被害にあったOSの大半はWindows 7だと報じられているが、本来であればSMB v1を無効にしておけばWindows 7でも被害に遭うことはなかっただろう。このように脆弱性はどんなソフトウェアにも存在し、開発側はセキュリティホールを塞ぐセキュリティ更新プログラムを提供し続けている。この"イタチごっこ"は延々と続くため、古いソフトウェアを使い続けることは、同時にリスクを抱えることになることを重々理解してほしい。