延命措置は根本的な解決にならない Windows Server 2003終了問題、専門家が警鐘

延命策を施したことで安心し、本格移行に踏み切らないのは命取り――。JPCERTコーディネーションセンターで早期警戒グループマネージャーを務める満永拓邦氏が注意を呼びかけている。

[ITmedia]

JPCERTコーディネーションセンターの満永氏

　Windows Server 2003サポート終了が目前に迫っている。サポートが切れる7月15日以降もWindows Server 2003サーバを使い続けていると、新たな脆弱性が見つかっても修正プログラムが配信されなくなり、攻撃に対して無防備な状態になってしまうのだ。

　セキュリティ面のリスクが高まることから“待ったなし”の対応が求められているが、そうはいっても、「管理部門の説得が間に合わない」「対応するサーバの数が膨大」「人手が足りない」などといったさまざまな事情から、“どうしても7月15日に間に合わない”というケースもある。そんな場合の救済策が「延命措置」。ベンダー各社が、さまざまな対策サービスを提供している。

　しかし、延命策を施したことで安心し、本格移行に踏み切らない企業も出始めているという。JPCERTコーディネーションセンターで早期警戒グループマネージャーを務める満永拓邦氏は、「延命策はあくまで一時的なもの。サポート終了後も使い続けるのはセキュリティ上の観点から非常にリスクが高い」と警鐘を鳴らす。

延命措置は根本的な解決にならない

　満永氏が挙げる1つめのリスクは「新たな脆弱性が見つかったときに、対応できないことがある」という点だ。仮想パッチの適用で延命を図る企業が増える中、延命措置で“ウイルス対策しているから安全”という誤解が生まれているという。しかし、いくらパッチを当てても脆弱性がなくなるわけではなく、攻撃者が仮想パッチを入手すれば対応できてしまうため、十分な対策とはいえないと満永氏は指摘する。

　2つ目のリスクはパスワード管理の方法だ。Windows Server 2003はWindows Server 2008以降のOSとはパスワードの管理方法が異なり、「少し攻撃しやすい環境になっている」（満永氏）。そこを突いて、パスワードを知らなくても攻撃者がなりすましてアカウントにログインできてしまう「Pass-the-Hash」で攻撃された場合、Windows Server 2008以降のOSのほうが攻撃耐性が高いという。「この手の標的型攻撃は2000年代前半くらいから被害が増えており、対応を求める声が高まったことから、Windows Server 2008以降のOSでは対策が施されている」（満永氏）

Windows Serverは認証以外のセキュリティ機能も強化されている

　さらに、ハードウェア面の問題も見逃せない。Windows Server 2003のサポートが終了すると、対応するハードウェアのサポートも終了に向かう。サーバを使い続けているうちにハードウェアや周辺機器が故障しても、交換用のパーツを入手できなくなることが予想される。パーツを交換できず、業務が止まってしまう可能性があるというわけだ。

---

　セキュリティに対する攻撃は年々巧妙になっており、精算システムや制御系、工場、プラントを狙うような攻撃も出てきている。また、攻撃者が進化している点にも注意が必要だ。今や「ツールを作る人」「配る人」「それを使って攻撃する人」といった分業体制が敷かれており、さらに巧妙になっていく可能性が高いという。

　「古いOSやソフトウェア、よく分からないままに使われているサーバがあると、攻撃者は弱いところを狙ってくる。自社の情報を危険にさらさないためにも、“待ったなし”で速やかに移行を進めてほしい」（満永氏）

特集まとめ読み特別冊子 プレゼント応募フォーム

特集「移行か延命か！“崖っぷち”中小企業のためのWindows Server 2003対策」の特集記事をまとめた電子冊子（PDF）を、特集終了後にプレゼントいたします。

＜＜＜ 応募はこちらから