マイクロソフトはWindows Server 2003のサポートを2015年7月15日に終了しました。サポートが終了することにより、脆弱性が発見されても修正パッチの提供は受けられなくなり、使い続けると危険を伴います。
ところが、それに先立つ2014年4月9日にサポートが終了したWindows XPは、1年以上が経過した現在も、OSのシェア調査が行われると少なからず用いられていることが判明します。おそらくWindows Server 2003についても、しばらくは相当数が存在し続けることになるでしょう。
では、Windowsの最新OSとサポートが終了したOSとでは、どのくらい脆弱性の数に違いがあるのでしょうか。今回から、サポート終了組のWindows Server 2003とWindows XP、それから現役組のWindows Server 2012やWindows 10などを「ネットワーク脆弱性検査ツール」というものでスキャンして、違いを見ていきます。
そもそも脆弱性とは何か?
WindowsやiOSといったOSに加えて、WebブラウザーやFlash Playerといったアプリケーションも更新プログラムの配布が行われています。機能拡張が目的のこともありますが、多くは脆弱性の修正を目的としています。
OSをはじめとするコンピュータソフトウエアには、プログラムの不具合や設計時のミスなどに起因する欠陥が潜んでいることがあります。具体的には、設計時に予想しなかった使われ方をされた、仕様策定時に見落とされた潜在的欠陥、プログラム作成時のミスなどがあります。これらの欠陥のうち、コンピュータシステムのセキュリティに弱点を作り出すものが、ここでいうところの脆弱性です。脆弱性が悪用されると、コンピュータシステムを止められたり、情報を漏洩されたり、データを破壊されたりする恐れがあります。
また、更新プログラムの存在は、それにより修正される脆弱性が世に知られたものであることを意味します。したがって、更新プログラムを適切に適用することは、このような情報セキュリティを確保する上で、非常に重要だといえます。
脆弱性調査行うことの意味
日々さまざまな製品について脆弱性が発見され、報告されています。Symantec Research LabsのLeyla Bilge氏とTudor Dumitras(sはセディーユ付きのs)氏は、ゼロデイ脆弱性は公開後にそれを利用した攻撃が増えると指摘しています(※)。対策は、早いに越したことはありません。
一方、ネットワークに接続される機器は多岐にわたり、PCなどはインストールされているソフトウエアの脆弱性もケアしなければなりません。こうなると人手による状況確認は困難になってくるので、ツールを用いることが考えられるようになります。今回は実測のために、ネットワーク脆弱性スキャナーのNessus(ネサスと読みます)という製品を用います。このようなツールは、システムに存在する脆弱性を確認することができます。もちろん確認はゴールではなく、脆弱性が見つかったらしかるべき対処が必要です。
前述の通り脆弱性は日々見つかっていますので、調査は一度行えばそれで終わりとはなりません。定期的に調査を実施し、新たな脆弱性に備えることが重要です。