ここから本文です

Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は?

5/23(木) 7:05配信

ITmedia NEWS

 セキュリティ対策の基本の1つは「最新のパッチを適用すること」です。不正アクセスの多くは、OSやアプリケーションに存在する脆弱性を突いて行われます。従って、最新のパッチを適用して脆弱性を修正すればリスクは減らせます。

【ランサムウェアの感染画面】

 ということで、多くのソフトウェアベンダーやオープンソースソフトウェア開発コミュニティーは、何らかの脆弱性が発覚したり、指摘されたりすると、それらを修正するパッチや新バージョンをリリースしています。中でも米Microsoftは毎月第2火曜日(日本時間では水曜日)に、定期的にセキュリティ更新プログラムを提供してきました。

 ただ、2019年5月の更新プログラムには、ちょっと驚くことがありました。脆弱性の影響を受け、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムが用意されたことです。

 Windows XPは14年4月、Windows Server 2003は15年7月と、数年前にサポートが終了しています。サポート終了とは、それ以降はたとえ脆弱性が発覚しても、修正プログラムは提供されず、攻撃のリスクにさらされることを意味します。今回は、その原則を破ったパッチ提供というわけです。

繰り返される「例外措置」の背景

 この「例外措置」は、今回が初めてではありません。実は、サポートが終了した直後の14年5月に早速、Windows XP向けも含めた緊急アップデートが提供されたことがありました。またご記憶の方も多いでしょうが、ランサムウェア「WannaCry」が急激に拡散した17年5月にも、「極めて異例の手段」として、Windows XPやWindows Server 2003向けに、WannaCryが悪用するSMBv1の脆弱性を修正するプログラムを公開しました。

 そして今回のパッチ提供です。Microsoftは特例措置の理由を、「この脆弱性を悪用するマルウェアが開発されると、WannaCryのように脆弱な端末に感染が広がる可能性があるから」と説明しています。

 WannaCryであらためて認識された通り、ネットワークにつながっているだけで感染する「ワーム」のインパクトは甚大です。ひとたび感染が広がると、駆除したと思っても別の端末でまた感染が発覚して“モグラたたき”のような状態になり、完全に駆除するまでには大きな手間がかかります。19年に入っても、いまだにWannaCryの感染事例が報告されるほどです。Microsoftはおそらく、こうした対応の手間や影響の大きさを考えて「例外措置」の判断を下したのでしょう。

 これ自体はありがたいことなのですが、複雑な気持ちにもなります。サポートが終了してから5年間がたった現在でも、いまだに無視できない数のWindows XPが動作していることの裏返しだからです。事実、米調査会社Net ApplicationsがまとめているOSシェア情報によると、19年4月の時点でも、Windows XPのシェアが2.46%あることが分かります。

 ほんの2~3%ならば切り捨ててしまってもいいのではないか、という意見があるかもしれません。けれど、しばしばセキュリティは「鎖」に例えられる通り、システムやネットワークを構成するどこか1カ所に脆弱なポイントがあれば、そこが侵入の糸口になって社内の他のシステムに拡散したり、悪いときには他者に攻撃を仕掛ける基盤になってしまう恐れがあります。インターネット全体の健全性を高めるには、弱いところほどきちんと手当てしなければなりません。

 ならば、サポート終了に伴って新しいOSにバージョンアップすべきだ、それがオーナーとしての責任ではないか――これは言うまでもなく正論です。

 ただ、実際に取材してみると、「予算がない」「今まで動かしてきたこのアプリケーションがないと、仕事ができない」といった悩みを持つ企業も、特に中小・零細規模では多いと聞きます。セキュリティを重視する立場からは「そんなの言い訳だ、最新の環境にすべきだ」と切って捨てたくなるところですが、おそらく、それでは問題は解決しないでしょう。現に、Windows 7のサポート終了に伴って、今まさにWindows 10への移行を進めている企業も多いと思います。移行率95%、98%までは達成できても、それを99%、99.999%、100%に持っていくのは非常に難しいことです。

 サポート切れOSへの対応は、高齢者の免許返納制度に似た部分があるのではないかと思います。身体・認知能力の衰えを考えると免許返納がベストですが、そうすると、買い物や通院といった日常生活が成り立たず、やむを得ず運転を続ける高齢者が、特に地方では多いと聞きます。遠回りですが、周囲からその危険性を説得し、また移行しやすい代替手段も提供して、今の状態を続けることのリスクを本人に認識してもらうことが大切なのでしょう。

 OS移行も同じように、多面的な取り組みが必要だと思います。今回のように、リスクや影響があまりに深刻な場合は例外的な措置を取りつつも、それに甘んじることなく「最新のOS、最新の環境を利用すべき」という認識を繰り返し伝え、代替手段も紹介しながら、古い環境からの移行を後押ししていかなければなりません。それでもどうしても使い続けたいという場合は、絶対にインターネットにつなげない環境で使う、もしくはせめて例外措置で提供される更新プログラムは必ず適用し、追加のセキュリティ対策も導入して守るなど、自分はもちろん周囲にも影響の及ばない折衷案を取るのも1つの手でしょう。

1/2ページ

最終更新:5/23(木) 7:05
ITmedia NEWS

こんな記事も読まれています

あなたにおすすめの記事