はじめに
サイバーセキュリティの強化に取り組む際には、新たな脅威だけでなく、既知のリスクへの対策も求められます。このリスクへの対策でネックになりやすい要素の1つが、ソフトウェアのサポート終了です。
とくにソフトウェアのなかでも、パソコンやスマートフォンをはじめとしたさまざまな機器で利用されているOSは、不特定多数に対する無差別攻撃の際に狙われる恐れがあります。そこで本記事では、サポート終了後のOSを狙うサイバー攻撃とそれを防ぐ方法についてご紹介します。
OSのサポート終了にともなうリスクとは
OSに限らずソフトウェア全般を快適に利用するためには、ベンダから提供される更新プログラムを随時適用する必要がありますが、更新プログラム提供をはじめとしたサポートは一定期間で終了する場合がほとんどです。サポート終了後は、不具合の修正を受けられない、ほかの周辺機器やソフトウウェアとの連携が難しい場合がでてくるといった悪影響も生じます。
OSのサポート終了による悪影響は、一般的なソフトウェアと同じものだけに留まりません。OSのサポート終了後は、OS上で稼動しているソフトウェアがOSの脆弱性を利用して狙われる恐れがあるため、ほかのソフトウェアと比べて注意が必要です。
不具合発生の際の対処
OSに限らずソフトウェア全般について、サポート終了後は不具合が発生した際の対処が難しくなります。自社で不具合改善方法を開発するのは技術力が必要であり、外部の技術者に依頼するとコストが嵩むため、どちらも簡単ではありません。
OSの場合は、業務を円滑に遂行できなくなる、保存しているデータを失うといったようにほかのソフトウェアよりもリスクが大きいため、早期対応が不可欠です。また、OSのサポートが終了する際にはハードウェアも経年劣化している場合が多いため、物理的な破損による動作不良のリスク増加にも留意して対処する必要があります。
周辺機器やほかのソフトウェアとの連携
OSのサポート終了後は、当該OSでの各種周辺機器やソフトウェアの動作が保証対象外になってしまう可能性があります。そうなってしまうと、問題が生じた際にベンダに頼れず、周辺機器やソフトウェアを買い替える手間とコストがかかってしまいます。
また、新製品は最初からサポートが終了したOSでの動作を保証していない場合も多く、サポート終了からの期間が長くなるほど、周辺機器やソフトウェアとの連携が難しくなることを念頭に移行を視野に入れるべきです。
セキュリティリスク
サポートが終了したOSは、ほかのソフトウェアと同じように、利用しているセキュリティソフトの動作保証対象外になる恐れがあります。動作保証の対象外になり、うまくアップデートできないと、セキュリティソフトを導入していても安全ではありません。
トラブル発生の可能性が高くなってしまうだけではありません。インシデントの際にもベンダに頼れず、独自対応が必要になるため緊急時の業務負荷も増えてしまいます。
サポート終了後のOSにより被害が拡大したWannaCryインシデント
サポート終了後のOS利用を続けるリスクについて考える参考に、ランサムウェア「WannaCry」によるインシデント事例をご紹介します。
インシデントの概要
2017年に、多くのパソコンがWannaCryというランサムウェアに感染する世界規模のインシデントが発生。感染規模は150ヵ国以上で20万台以上とも30万台以上ともいわれ、感染したコンピュータ内のデータを暗号化して復旧と引き換えに身代金を要求するという攻撃手法で、大手企業だけでなく中小企業や政府機関、個人ユーザにも被害が広がりました。
中国では政府機関や教育機関、一般企業など約3 万の施設が影響を受けました。このなかには、中国に進出していた日本企業も含まれます。
イギリスでも、医療施設の20%がWannaCryの影響を受け、緊急を除く多くの予約がキャンセルという事態になってしまいました。英国会計検査院の報告書によると、236のうち81の組織でシステム感染やその予防措置として端末を停止したと記録されています。
ランサムウェアWannaCryの感染手法
ランサムウェアWannaCryは、インターネットやLAN(Local Area Network)といったネットワークを通じて、Windows SMB(Server Message Block)ファイルサーバの脆弱性を持つ端末を探して感染します。次に、感染した端末で自己増殖して、コピーをネットワーク上の別の端末に送るといった方法で感染を広げます。
この脆弱性を悪用した感染と増殖を繰り返す手法は、当時ランサムウェアで主流だったメールにファイルを添付する攻撃手法と異なり、感染に端末ユーザの操作を必要としないため、感染は爆発的に拡大しました。
当時この感染経路に利用された脆弱性はすでに知られており、サポート対象のOSに関してはマイクロソフト社から修正パッチが提供されていたにもかかわらず、WannaCryは世界規模のインシデントを引き起こしました。
その原因として、全世界的にアップデートや修正パッチ適応、サポート終了後のOS利用を控える、といった対策が十分ではなかったことが挙げられます。
サポート終了したOSによる被害拡大
WannaCryによるインシデントが発生した当時、すでにサポートが終了していたWindows XPが世界的に普及しており、サポート終了後も多数利用されていました。直接的な被害拡大を避けるために端末を停止し、多くの企業は一部業務の停止や遅延といった形での損失を受け入れざるをえませんでした。
マイクロソフト社は、この世界規模の被害に対して、すでにサポート終了していたWindows XP用の緊急パッチを公開。このインシデントは、ランサムウェアの脅威と同時にサポート終了後のOS利用の危険性を全世界に知らしめました。
サポート終了後のOSからサポート対象となる新たなOSへの移行は、サイバーセキュリティの観点から考えると、インシデントの際の被害を抑える予防措置としての側面を持つといえるでしょう。
OSのサポート終了に備える基礎的な考え方
OSのサポート終了は突然訪れるものではありません。期日が迫って急に慌てないように、しっかりと何をすべきか、基礎的な考え方のポイントを整理しておくべきです。
日頃の情報管理
日常的に、OSをはじめ社内で利用している機器やアプリケーションの情報を整理しておきましょう。OSは導入時期によって端末ごとにバージョンが異なる場合があります。また1人ではなく複数ユーザが利用しているといった理由で、管理責任が曖昧になってしまっている場合もあります。そのため、機器を誰が管理しているのかといったユーザ情報とセットで記録しておくと管理漏れを防ぎやすいでしょう。
OSベンダやパソコンメーカなどがサポート終了時期についての情報を発信しているため、定期的に確認するのも需要です。サポート終了日は、End of Life(EOL)やEnd of Service Life(EOSL)と表現される場合もあるため、英語で調べる際にはこれらの単語も検索してみるとよいでしょう。
ほかにも、信頼できる情報ソースとして公的機関の情報も有用です。経済産業省所管の、独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)は、「重要なセキュリティ情報」としてサポート終了にともなう注意喚起をWebサイトに掲載しています。米国の政府機関CISA(Cybersecurity and Infrastructure Security Agency)が2021年11月に公開した「Known Exploited Vulnerabilities Catalog(既知の悪用された脆弱性カタログ)」も便利です。このカタログは、対処しなければ危険だと米国政府が判断した「攻撃に悪用されている脆弱性のリスト」であり、不定期で更新されています。WindowsやChromeといったなじみのある製品が数多くリストアップされており、IT技術者やセキュリティ担当者にとって、優先的にどの脆弱性に対応するかの参考として有用です。
サポート終了に対する準備
OSのサポート終了期日が近づく前に、計画的に準備を進めましょう。
一番簡単な対処は、サポート対象である最新OSへの移行やアップグレードです。ただし新OSに社内で利用している業務システムやアプリケーションが対応していない可能性があるため、動作環境についてそれぞれ確認が必要です。
サポート終了までにOSの移行やアップデートが難しい場合は、さまざまな企業が提供している「延命ソリューション」を活用してセキュリティリスクを軽減する対応方法もあります。延命ソリューションとは、法人向けに、開発元や第三者が提供する有償の延長サポートサービスです。こうした有償の延長サポートを受けることで、サポート終了後も安全を担保できます。
ただし、最新の周辺機器やソフトウェアとの連携が担保されないといったリスクを完全には避けられないため、OSの移行やアップグレードまでの時間稼ぎとしての利用が望ましいといえるでしょう。
大規模なインシデント発生時
自社が被害に遭っていないとしても、大規模なインシデントには注意を払いましょう。上述の独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)以外にも、事件に関する情報は警視庁、ネットワークインフラに関わる情報は総務省からも情報が拡散されます。
簡単な対策で未然に被害を防げるといった場合もあるため、インシデントに関する情報には常にアンテナを張っておくのが理想です。
まとめ
OSのサポート切れを狙ったサイバー攻撃を未然に防ぐことは、セキュリティ対策として重要です。しかも、注意すべきはOSだけではありません。さまざまなソフトウェアの動作保証や安全な運用のため、OS上で動作するアプリケーションや社内システムなどの情報も同時に管理し、最新の状態に保つ必要があります。また、サイバー攻撃のトレンドや流行しているウィルスに関する知識を常にアップデートしつつ、予防措置を取ることも求められます。
しかし社内担当者だけでは手が回らず、十分な対策が難しいといった企業も少なくありません。そういった場合は、業務の外部委託を検討してみてはいかがでしょうか。
セラクには専門性の高いセキュリティ技術者が多数在籍し、クラウドサービスの導入支援や情報システムに関するマネージドサービスなど、幅広く支援しています。自社のIT環境に疑問・不安・お悩みなどございましたら、ぜひセラクへご相談ください。
