なぜ Windows XP を使い続けてはいけないのか? 2013年の攻撃事例から考える

2013年も残り 1カ月を切り、今年の反省や振り返り、来年の計画や予測がさまざまに行われていると思います。この2013年には、来年がタイムリミットとなるセキュリティ課題として「Windows XP のサポート終了」が何度も取り上げられていました。改めて説明する必要はないと思われるほど、何度も取り上げられてきた課題ですが、2014年4月のサポート終了までに Windows XP からより新しい OS への移行が求められています。2014年を迎える前に、このブログでももう 1度この問題について振り返ってみたいと思います。

■最大のリスクは脆弱性
この 12月の時点でまだ Windows XP を使用されている方は、業務アプリが移行できないなど何らかの事情があるものと思われます。しかしもしかすると、このまま XP を使用し続けてサポート期間が終了したとしても直ちに何らかの被害が発生するわけではない、と考えて OS更新が進んでいない場合もあるのかもしれません。

Windows XP に限らず、サポート終了する古いソフトウェアの最も大きなリスクは脆弱性です。その脆弱性攻撃リスクの要因としては、

  1. セキュリティ更新プログラムの停止
  2. 古いソフトほど、そもそもソフトウェア的に脆弱性が発生しやすく攻撃しやすい構造になっている
    の 2点があります。

■リスク要因1:セキュリティ更新プログラムの停止
何らかの脆弱性が新たに確認され、その脆弱性を利用する攻撃が発生したとしても、サポート終了製品についてはセキュリティ更新プログラムが提供されなくなります。脆弱性の修正が行われなければずっと「ゼロデイ攻撃」の状態となってしまいます。つまり、攻撃が来ることがわかっているのに防御できない、対策の施しようが無い、ということです。

直近で Windows XP の脆弱性を利用したゼロデイ攻撃としては、11月27日に公開された「カーネル NDProxy の脆弱性(CVE-2013-5065)」を利用した攻撃の事例があります。この攻撃では侵入した不正プログラムの権限昇格のために Windows XP の未修正の脆弱性が利用されました。現在はサポート期間中であるため、ゼロデイ攻撃が発生しても「次のアップデート公開時に更新」することにより、根本解決されることがわかっていますが、サポート終了後はそれも望めなくなります。このようなサポート終了後のソフトウェアへの攻撃として世界的に最も顕著な事例としては、Java Version 6(以下 Java 6)への攻撃が挙げられます。トレンドマイクロでは、2013年8月以降、Java の脆弱性「CVE-2013-2463」への攻撃を確認しています。この脆弱性は、2013年6月に確認されたものであり、最新の Java では既に修正が行われています。しかし、Java 6 は、この脆弱性が確認される以前の 2013年2月でサポート終了しているため、修正が行われないままの状態、つまりゼロデイ攻撃の状態のままとなっています。Windows XP でもサポート終了後は新しい脆弱性が確認されても修正されなくなり、このJava 6 のような状態になる可能性が高いでしょう。

■リスク要因2:古いソフトほど攻撃しやすい
ソフトウェアは新しいバージョンほど、そもそも脆弱性が発生しないようにする対策が含まれていくものです。Windows でも、XP から Vista、7、8 とアップグレードしていくに従い、さまざまな脆弱性対策が追加されています。Windows XP 以降で具体的に強化された脆弱性対策としては、SEH 上書きの保護(SEHOP)、アドレス空間配置のランダム化(ASLR)、ヒープの強化、などがあります。これらの対策が実装されていくことによって、同じ脆弱性であっても新しい OS の方が攻撃しにくくなっています。

この古いソフトほど攻撃しやすい例としては、9月にゼロデイ攻撃の発生が確認された「Internet Explorer(IE)において任意のコードが実行される脆弱性(CVE-2013-3893)」の事例があります。この脆弱性は「すべての IE に影響するゼロデイ脆弱性」として注目されました。Microsoft のセキュリティアドバイザリでも、影響範囲は IE 6 から 11 とされています。これだけ見ると Windows XP 以降すべての OS で等しく攻撃発生の危険があるものと思えます。しかし、脆弱性検証ツール「Metasproit」の提供元である Rapid7 では、現在確認されている「攻撃コード(エクスプロイト)」は、「Windows XP+IE8」もしくは「Windows7+IE8/9」の環境にのみ影響するものであるとしています。「Windows 7+IE10/11」や「Windows 8/8.1+IE10/11」のようなより新しい環境に対するエクスプロイトはまだ出てきておらず、攻撃対象となっているのは古い環境のみ、ということになります。

このように脆弱性は影響を受けるとされる環境すべてで等しく危険というわけではなく、同じ影響を引き起こす脆弱性であっても攻撃者にとってエクスプロイトが作成しづらい、利用しづらい環境が存在します。攻撃者は攻撃対象となるユーザの環境の中で、もっとも攻撃しやすいポイントを攻撃します。それが Windows XP のような古いバージョンの OS やアプリケーションである、と言えます。攻撃者の観点で言えば、古い OS を使用している環境では O S以外のアプリケーションも古いままである可能性が高いと考えられるため、より攻撃しやすい標的と判断されます。

■攻撃者は攻撃しやすい環境を狙う
2014年4月のサポート終了後も相当数の PC がアップグレードされずに Windows XP のまま使用されることが予想されています。その一例として、地方自治体の使用する PC のうち、OS のアップグレードがサポート終了に間に合わない PC が 26万台以上発生すると、総務省では、2013年11月22日、発表しています。確かに、これまでも多くの Windows のバージョンがサポート終了を迎えてきましたが、このように多くの PC が古い OS のまま存在し続けることが予測されているケースは初めてではないでしょうか。当然、攻撃者にとっては、Windows XP を狙う価値が高い状態のままサポート終了を迎えることになります。また、OS自体のサポート終了後は OS上で使用するアプリケーションもアップデートされなくなり、脆弱性のリスクが高くなっていくでしょう。このように、すでに古いソフトウェアとなっている Windows XP を使い続けることは、組織においても個人においてもセキュリティのリスクを格段に高めることであり、延命させるために行わなければいけない苦労と比しても、割に合わない選択となるでしょう。

■ユーザが行うべき対策:
このような古いソフトウェアに対する脆弱性のリスクについては、新しいバージョンにアップデートすることが根本対策であり、サポート終了前に Windows XP を新しい OS へ更新することが必要です。また、Windows XP 以外に、もうひとつ注意すべき点として、Microsoft Office 2003 のサポートも同時に終了することが挙げられます。すでに Windows XP からアップグレードされているユーザの方も、自身の環境で Office 2003 の使用がないかを確認すべきでしょう。

ただし、根本解決についてはわかっているが、業務の都合などの事情でタイムリミットとなる 2014年4月のサポート終了までにアップグレードが間に合わない、という場合もあるかもしれません。このような場合には、最も大きなリスクである脆弱性攻撃の影響を最小限にするような緩和策を行うべきです。運用の観点からは、Windows XP の環境はインターネット接続させないようにすることが最低限の対応と言えます。その上で、脆弱性攻撃を緩和するセキュリティ対策製品も導入すべきでしょう。

■トレンドマイクロの対策:
・トレンドマイクロではWindows XPのサポート終了までにアップグレードを完了できない環境について、OS移行中におけるセキュリティ対策製品のサポートを延長いたします。これはあくまでもOSの移行中も最低限のセキュリティを提供するための対処となりますので、速やかにOSアップグレードを実施していただくことを推奨いたします。また、Windows XP環境で使用していた製品ライセンスはOSアップグレード後も継続して使用可能です。

  Microsoft Windows XPのOSサポート終了に対する移行支援について
  http://www.trendmicro.co.jp/jp/business/products/corp-xp/

・トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」およびクライアント向け「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、脆弱性対策機能を使用することにより、ネットワーク経由での脆弱性攻撃から保護されます。

・特定用途にのみ使用する環境については、「Trend Micro Safe Lock」により、システムのロックダウン(特定用途化)によるセキュリティ対策を可能にします。

No related posts.