ホワイトバードのブログ〜第6章〜

アクセスカウンタ

zoom RSS XPは来年4月でサポート終了……三重県四日市市「サイバー攻撃はめったにあるものじゃない」

<<   作成日時 : 2013/10/07 18:04   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

10月6日付の読売新聞の記事(※1)を見て、衝撃を受けました。

XPから後継OSへの移行が遅れている、ある自治体のIT推進課職員が「サイバー攻撃はめったにあるものじゃないし、別に不安はない」と発言したことについてです。

ITを推進している者の発言とは思えない為、すでに某掲示板等でネタにされていますが、

今日は「何故サポート終了OSを使い続けることが危険なのか」について簡単に記そうと思います。


 


目次

(1)セキュリティ対策の基本

(2)Microsoft社のOSサポートについて

(3)まとめ

 


(1)セキュリティ対策の基本

まずは、WindowsOS搭載パソコンのセキュリティ対策の二本の柱を説明します。

1、Windows Update最新の更新プログラムを適用する

2、ウイルス対策ソフト正しく運用する

参考URL「ウイルスからパソコンを守りたい! パソコンのセキュリティ対策って何をすればいいの?」

文書番号: 879164 - 最終更新日: 2013年1月22日 - リビジョン: 3.5

(http://support.microsoft.com/kb/879164/ja)

(参考URL先では「3本柱」と称してしますが、そのうちの一つ「ファイアウォール」は初期状態のXP(SP3)、Vista、7なら有効になっているはずですので省きました。ファイアウォール構成を自分でいじれる方はこの記事を読む必要はないと思いますので……笑)

 

1、Windows UpdateとはOSの脆弱性やセキュリティホールの修正パッチ、その他Microsoft製ソフトウェアの更新などを(推奨設定のままであれば)自動的に行ってくれるものです。

これはMicrosoft社のOSサポートにより提供されています。

 

Windows XPという一軒家があるとします。

当然、家には外部との繋がりの為にドアや窓がついています。

こうしたところの戸締りを行い、不正侵入を防ぐのが「2、ウイルス対策ソフト」だと思ってください。

ところが、家を建てた数年後に欠陥(参考画像では外壁に穴が開いていますね)が見つかり、修繕工事をすることになりました。

このように欠陥箇所をふさぐ作業を行ってくれるのが「1、Windows Update」だと思ってください。(乱暴な説明ですみません)

000016253

参考URL「修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について」

第10-08-176-1号 最終更新日:2010年 1月22日
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)

(http://www.ipa.go.jp/security/virus/zda.html)

 

この二本柱のうちどちらかが崩れれば当然、セキュリティ対策が行われていないことになります。(サポート終了とは修正パッチの提供がなくなるということ)

よくある勘違いとして「サポート終了しても、ウイルス対策ソフトを最新に保てば問題ない」というのがありますが、

ウイルス対策ソフトも所詮は「Windows XP」OS上で動作するアプリケーションの一つに過ぎません。

サポート終了後にXPの脆弱性が判明すれば、しかもそれがウイルス対策ソフトではどうしようもない欠陥だったら。

セキュリティ対策をしていない無防備なパソコンをインターネットに接続していることになるのです。

 

 

セキュリティ対策なしでも、怪しいサイトを避けていれば大丈夫というのも大昔の話です。

最近は大手メーカーのホームページのトップが改ざんされ、悪意を持ったプログラムがダウンロードされるという事例が多数あるそうです。

上記の対策二本柱どちらも行っていないパソコンでインターネットに接続すると、数分から数十分でウイルス感染するとまで言われています。

(これに関して有用なソースを見つけることができませんでした。私の通う大学の、ある研究室が自大学ネットワークとインターネットとを結ぶポイントのパケット観測などのデータ採集を行っているのですが、絶えず攻撃を受けており、仮想環境で動作させたセキュリティ対策なしのWindowsOSが十数分で感染する様子を見せてくれました。まだ外部向けのコンテンツとしては公開していないようですが非常に興味深い研究内容ですので一応載せておきます。)

参考URL「横浜国立大学 情報・物理セキュリティ研究拠点」

(http://ipsr.ynu.ac.jp/index.html)

 


(2)Microsoft社のOSサポートについて

この章では下記サイトを主に参考にしています。

参考URL「サポート終了に伴う、セキュリティのリスク」

(http://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos/security.aspx)

 

さて、今回話題となっているXPのサポート終了ですが、

対象となるのは「Windows XP Service Pack 3(SP3)」です。

SP2までのバージョンはすでに期限切れですので、論外です

(64bit版XPは、SP2が最新ですので2014年4月までサポートされます)

 

そもそもMicrosoft社のOSサポートには、リリースから最低5年間の「メインストリームサポート」と、さらに最低5年間の「延長サポート」の二種類があります。

このようにサポートに期限を設ける概念を、Microsoftは「製品サポート ライフサイクルポリシー」として定めており、2012年2月のポリシー更新によって「Vista」「7」のOSにはこの10年サポートが提供されることとなりました。

XPは2001年から登場しましたので、延長サポート期間も終了しているはずですが、XPというOSは完成度が高く評価され普及したこともあり、サポートが延長された過去があります。

その為、2014年4月のXPサポート終了も「また延長してくれるのではないか?」という期待があるのですが、Microsoftはこれを否定しています。

 

ユーザーとしては、OSサポートの期限を一方的に押し付けられて不満を感じることもあるでしょう。

当然、Microsoftとしてはサポートに期限を設けることで、OSの買い替え需要を高めようとしているのは間違いないと思います。

しかし、現状としてより古いOSの方が、新しいものよりウイルス感染率が高いというデータがあるのも事実です。

img_saf1

(※出典:マイクロソフト セキュリティ インテリジェンス レポート第 14 版)

こうしたことから、Microsoftはユーザーの利便性と安全性を考え、10年という数字を設定したようです。

 

OSサポートが完全に終了すると、セキュリティ更新プログラムは提供されなくなります。

攻撃者は日々、まだ見つかっていないOSの脆弱性を探していますから、サポート終了後も脆弱性が判明することでしょう。

ところがMicrosoftはその穴をふさぐ作業はもうしません。

ネットワーク内の一台が感染すれば、あっという間にそのネットワーク内に感染が広まるでしょう。


(3)まとめ

セキュリティ対策は、脆弱性を修正するプログラムの適用(Windows Update)とウイルス対策ソフト、両方行って初めて成り立つもの。

そしてOSサポートが終了すれば脆弱性はほったらかしになる。

 

ここまでお読みいただいた方なら、四日市市職員の発言がどれだけ危ういかおわかり頂けましたでしょうか。

「サイバー攻撃はめったにあるものじゃないし、別に不安はない」

ただでさえ、安全そうなWebサイト閲覧だけでもウイルス感染する恐れがある昨今のインターネット状況で、

標的にして下さいと言わんばかりのこの発言。

 

個人PCが標的型攻撃を受けることは多くないと思いますが、市のネットワークレベルなら今までも何度も攻撃対象となっています。

IT推進課によれば、四日市市のXPから後継OSへの移行は2014年8月以降であることまでご親切に教えてくれています。

4月から8月までの間に、XPの脆弱性が一つも見つからない……そんなことがあると思いますか?

 

四日市市のXPマシンの中には、戸籍・住民票を扱うものもあるようです。

個人情報が流出、なんて騒ぎにならなければ良いのですが……。

 


(※1)三重県四日市市に関する文章は、下記サイトを参考にしました。

参考URL「XP期限切れ、自治体「攻撃めったにない」」(2013年10月6日12時02分  読売新聞)

http://www.yomiuri.co.jp/net/news0/national/20131006-OYT1T00223.htm


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
最近読んだ本の中でオススメなものを掲載しています ↓




XPは来年4月でサポート終了……三重県四日市市「サイバー攻撃はめったにあるものじゃない」 ホワイトバードのブログ〜第6章〜/BIGLOBEウェブリブログ
文字サイズ:       閉じる