2014,04,08

XP搭載機 高まる危険性 システム全体の盲点

       4月9日、アメリカ・マイクロソフトの基本ソフト(OS) 「ウィンドウズXP」 と 「オフィス2003」 に最後のセキュリティー修正プログラム(パッチ)が公開される。 同社はどれほど大きなセキュリティ上の欠陥(脆弱性)が見つかっても対応しない。 まだ法人が使うパソコンの6台に1台はXP。 利用を続ける企業や自治体は10日以後、この1台を踏み台にしたシステム全体への攻撃の可能性と隣り合わせになる。        「XP搭載のパソコンの攻撃被害は確実に増える」。 セキュリティー大手のトレンドマイクロとシマンテックの日本法人の専門家は同意見だ。 最大の理由は、パッチの存在しない脆弱性を狙う 「ゼロデイ攻撃」 がXPに関しては今後永遠に続くためだ。        攻撃者は脆弱性を悪用するプログラムを作り、インターネットを介してパソコンの管理者権限を乗っ取る。 そうすると、あたかもパソコンの前に座るように全て操作できる。 侵入したパソコンを起点に他のウイルスを呼び込んで組織のネットワークに感染を広げ、機密情報の持ち出しや利用者の監視、システムの破壊などを画策する。        システム上のパソコン1台に脆弱性が有れば、システム全体が危険にさらされることになる。        XPは2001年に発売。 約13年間世界中で使われ改善もつき重ねられてきたが、まだ脆弱性が残っている。 そもそもXPは最新のウィンドウズ 「8」 シリーズのセキュリティー保護機能の25%程度しか備えていない。 「XPのセキュリティー保護昨日は攻撃者により次々とバイパス(回避)されている」 のが実情だ。        シマンテック日本法人の林薫セキュリティレスポンスシニアマネージャーは 「XPの騒ぎにまぎれているがOS以上に深刻なのはアプリ(対応ソフト)の脆弱性だ」 と警鐘を鳴らす。 例えばプログラム開発言語 「Java(ジャバ)」 や閲覧ソフト(ブラウザー) 「クローム」 などはXPサポート切れを表明している。        利用者が少なくなった古いソフトだからと言って、攻撃者の眼中にないと考えるのは早計だ。 今年に入ってジャストシステムの表計算システム 「三四郎」 の脆弱性を悪用して、企業から機密情報を盗み出す 「標的型攻撃」 攻撃が観測された。 狙われた三四郎は発売から4年が経過しているがまだ脆弱性が残っていた。 攻撃者は標的を綿密に調べ、攻めどころとしてわざわざ三四郎を選んだ。        セキュリティー各社は17~18年頃までにXP向けのウイルス対策ソフトを更新する見通しだ。 だがウイルスが見つかってからワクチンを作るので、問題は防ぎきれない。         中小企業や自治体などでは経済的な問題からXPを使い続けることが多い。 「安全」 に使うためにネットからの遮断に加え、USBメモリーを使わず、プリンターも共有しないなどの対策を取ることもあるが、そうしたパソコンが業務上役に立つか疑問が残る。        ソフトのサポート切れはXPだけでなく他のOSや業務ソフト、ミドルウエア(基盤ソフト)に共通する問題だ。 セキュリティリスクを経営問題として捉え、対策する必要がある。(日経流通新聞)                        ツイートこの記事をつぶやく