日本では多くの企業でWindows XP SP2とWindows 2000が使われています。なぜなら、業務で利用しているアプリケーションやミドルウエアが、新しいOSやサービスパックに対応していないからです。
さらにこの世界的不況の中、新規アプリケーションの開発すらままならない中、古い業務アプリケーションのバージョンアップなどに費やす余裕などはありません。そんな中、ついにWindows XP SP2とWindows 2000に対するマイクロソフトの延長サポートが2010年7月13日(米国時間)に終了となります。
この7月13日以降、対象となるOSについては、新規のセキュリティパッチは提供されなくなります。つまり、この日以降に他のサポート期間中のOSにパッチが提供されても、これらのサポート終了製品には新しいパッチは提供されません。
また、Windows XP SP2を使っている企業の多くはIE6を使用しています。このIE6はセキュリティの観点から見ると危険なWebブラウザーであるということは既に知られています。つまり、OSが古いうえにWebブラウザーまで古いということになります。
この状況がどういう意味を持つかと言えば、7月13日以降にこれらのOSやWebブラウザーのぜい弱性を突いた攻撃に遭った場合には、何の抵抗もできずに業務停止に追い込まれる可能性があるということなのです。
攻撃に遭うと言うと、自分の会社には縁がないことだと思うかもしれませんが、いわゆるガンブラーの影響で改ざんされたホームページを閲覧しただけで感染することはもはや日常的になってきています。
さらに、古いOSやWebブラウザーを使う企業を狙い撃ちした標的型攻撃が来たらどうなるでしょうか? 7月13日以降に「十分に既知のぜい弱性」を突いたリンク先の記されたメールや添付ファイルが送られてきた場合に、いとも簡単にウイルスに感染させることができてしまいます。
最新のパッチを当て続けることができたとしても十分とは言えないということはこの連載で何度も書いてきましたが、それとは比較にならないくらい危険な状況に置かれるということです。
では、こういう企業はどうすればいいでしょうか?方法は2つです。
- 直ちに業務アプリケーションの改修を行い、Windowsをバージョンアップする
- インターネットの利用を禁止する(ホームページ閲覧、メール受信など)
いずれにしても対応は非常に困難です。マイクロソフトは何年も前から延長サポートが切れてしまうことを周知してきましたが、多くの企業で対応が後手に回っています。しかも、昨今のガンブラー騒ぎは衰えを見せていません。
また、2014年4月までサポートが提供されるSP3にWindows XP SP2から移行したとしても、WebブラウザーがIE6ではセキュリティ対策としては大きな欠陥を残します。併せてIE8もしくはFirefoxなどへの移行を実施すべきです。
最近のガンブラーなどのぜい弱性を突いた攻撃を見ていると、いちいちプログラムを一から書いているのではなく、部品を組み合わせて作られていることがよく分かります。新しいぜい弱性が発見されれば直ちにその部分だけをモジュールとして作って、既存の部品と組み合わせて攻撃プログラムができてしまうのです。
この「Xデー」に対しては言い訳は通じません。予算がないとか、業者が対応してくれないとかいうことは自分たちの中でしか通じません。取引先、顧客に対してはこれらの「言い訳」は「無責任」と取られてしまうことでしょう。
私の知っている多くの企業でこれらのOSやWebブラウザーが今でも使われています。特に大企業ほどこの状況は顕著です。むしろ中小企業は自前で業務アプリケーションを開発していないことが多く、市販のパッケージソフトを使用しているために問題がないことが多いようです。
「個人情報保護方針」を掲げている大企業であってもサポートの切れた業務アプリケーションで顧客情報を守ることはできません。早急な対応を検討すべきでしょう。
