サポート切れOSはかなり危険です！

危険な古いOSは捨てて、新OSへ移行しよう

2011年09月06日 09時00分更新

文● 八木沼与志勝／エフセキュア

最近、社内で業務PCの入替えを行なっています。新しいPCは高速なCPUと8GB程度のメモリを搭載し、OSは最新のWindows 7 Enterpriseの64ビット版です。これまでと違うGUIに戸惑う社員もいますが、慣れの世界ということもありおおむね好評です。一方で、社内システムの面倒を見る立場としては、移行に先立って実施したテストやパイロット運用（一部ユーザーによる試験利用）の際に、旧PCに搭載されたWindows XP で利用していた業務アプリケーションやWebブラウザ（特にInternet Explorer）を使ったWebアプリケーション、社外Webコンテンツに対する互換性の問題を発見し、対策に頭を抱えました。

PCで使われているOSの状況

　PCの入替えは、各企業に共通して見られる問題でしょう。ですが、業務優先とコストなどの理由から、PCの入替えやOSの移行が効率的には進まないことも共通して見られる問題ではないでしょうか。

　ですが、古いOSを使い続けることは、セキュリティ上の問題にもつながります。筆者はセミナーなどでお話させていただく機会も多いのですが、7月以降にセミナーでお話をさせていただいた際に、

古いOSに対するセキュリティの問題とは何なのか
ウイルス対策ソフトのOS対応状況はどうなっているのか

という質問が多くありました。そこで今回は、OSに絡む問題への対応を積極的に計画していただくために、サポート切れOSに関する2大リスクについて触れておきたいと思います。

サポート切れOSの現状とは？

　エフセキュアでは、PCにインストールされているOSの利用状況を独自に集計しています。2011年7月末時点のデータを見ると、いまだに35％強のPCにおいて、すでにマイクロソフトのサポートが終了したWindows XP SP2以前のOSが使われていることがわかります（図1）。

図1 OSバージョン別の利用状況（2011年7月末現在、エフセキュア調べ）

　2010年7月にサポートが終了したWindows 2000のユーザーはかなり少ないのですが、同じくサポート切れである「サービスパック未適用のWindows XP」のユーザーはまだまだ多いのです。

　初期のWindows XPはインターネットからの攻撃に対する耐性が弱く、セキュリティが強化されたのはサービスパック2以降です。サービスパック未適用のWindows XPは、そもそも攻撃に対してきわめて弱い状態にあり、特に対策を行なう必要があります。

サポート切れOSのリスクその1 ～ウイルスの脅威

　コンピュータウイルスの多くは、OSに存在する未対策のセキュリティ上の欠陥（セキュリティホール）を利用することでコンピュータを乗っ取り、情報を搾取したり、コンピュータを遠隔操作します。

　もっとも多く利用されるセキュリティホールが「バッファオーバーフロー（Buffer Overflow）」です。これは、アプリケーションが確保したデータ処理領域（バッファ）に収まりきらない量のデータが入力されてしまい、データがバッファをあふれてしまうことです。

　アプリケーションは、データ処理を行なったあとに、「処理を戻すアドレス」というものを記録しています。データ処理の次には、そのアドレスに書いてある命令が実行されるという仕組みです。ここでバッファオーバーフローが悪用されると、「処理を戻すアドレス」が書き換えられてしまい、次に実行される命令がおかしくなってしまいます。その結果、アプリケーションが意図せず停止させられてしまったり、攻撃者が用意した任意の命令が実行させられてしまうのです（図2）。

図2　バッファオーバーフローの仕組み

　2009年に猛威を振るったconficker（別名 Downadup）ウイルスも、バッファオーバーフローのセキュリティホールを利用しますし、国内でもいまだに古いOSを中心として感染が報告されています。Confickerウイルスは、企業内外で広く使われるUSBメモリの自動実行を利用して感染拡大しますので注意が必要です。

　ウイルス対策ソフトは、ウイルスを見つけて削除したり、ユーザーに通知することはできます。ですが、バッファオーバーフローなどのOSが持つセキュリティホールを直すことはできません。ですので、OSベンダーが提供する修正プログラムやサービスパックなどを適用することで、セキュリティホールをふさぐことが重要なのです。

　サポート切れのOSとは修正プログラムが提供されないため、セキュリティホールがそのままになってしまうOSです。セキュリティリスクに常にさらされる、非常に危険な状態なのです。

サポート切れOSのリスクその2 ～セキュリティソフトが対応しない

　OSのサポートが終了しても、「ウイルス対策ソフトがウイルスを見つけてくれるから大丈夫」と考えるユーザーも多いようです。実際にエフセキュアにも「うちはWindows XP SP2を使ってるんだけど、おたくのソフトは対応してくれるんでしょ？」といったお問い合わせを受けることもあります。

　しかし、前述の通りセキュリティソフトといえどもOSのセキュリティホールをふさぐことはできません。そして何より、ウイルス対策ソフトのほとんどはサポートが終了したOSに対応しません。

　日々出てくる新たな脅威に立ち向かえる技術を導入することが、セキュリティ製品の根幹であり、そのために最新の技術を利用する必要があります。ですので、サポートが終了したOSをカバーすることは、技術的に難しくなってしまうのです。

　また、サポートを終了した旧OSにまで対応しようとすると、OSのアーキテクチャの差を埋めるためのコーディングが必要になり、結果的に動作が重くなったり、セキュリティソフト自体にバグが入り込んでしまう可能性も大きくなるという理由もあります。このため、各社のウイルス対策ソフトは、サポートが終了したOSに対応しないことが多く、サポートが終了したOSのユーザーのリスクは、ますます大きくなります。

最新OS移行のススメ

　企業のシステム管理をする立場として筆者も経験しましたが、システム管理者にとってOSの移行（最新OSへの入替え）は、非常に大きな労力を伴う作業です。移行前のテストだけでなく、移行時のドキュメント作成、移行後の安定化までのしばらくの間続くユーザーからの問い合わせへの対応も必要です。比較的長い期間での対応が必要になり、目に見えないコストとなってしまいます。

　ですが、ウイルスに感染してしまうと、それ以上のコストが発生する危険があります。業務停止による損失、データ流失のリスクなどの対応も必要です。サポートが終了した古いOSが感染すると、ウイルスはネットワーク内に急速に広がるため、新しいバージョンのOSも含めた全台検査を行なうなどの労力も避けられません。ウイルスは、ネットワーク上から完全に根絶しない限り被害を広め続けるのです。

　こういった後手後手の対応を避けるためにも、今利用しているOSの今後のロードマップを確認した上で、最新版のOSを利用し、最新の修正プログラムやサービスパックを導入することを改めて強く推奨いたします。

　一番ユーザーの多いPC向けのWindowsに関していえば、2014年4月8日（アメリカ時間）にWindows XP SP3のサポートが終了します。また、各ハードウェアメーカーからもWindows XPを搭載したモデルは販売されなくなってきました。これからの導入を考えるのであれば、セキュリティの観点からもWindows 7を利用するよう計画／予算化したり、十分なテストをしていくことを推奨したいと思います。