Windows 2000のサポート終了まで1週間となった。セキュリティ企業やIPAがWindows 2000を使い続ける危険性について、改めて注意を呼び掛けている。
米Microsoftは、7月13日(現地時間)にWindows 2000およびXP Service Pack 2(SP2)のサポートを正式に終了する。サポート終了まで1週間となった5日、セキュリティ企業各社や情報処理推進機構(IPA)がWindows 2000を使用し続けるセキュリティ上の問題について注意を呼び掛けた。
この問題に関する以前の記事で取り上げたように、Windows 2000は今なお多くの企業で使用されているとみられる。セキュリティ企業のフォティーンフォティ技術研究所(FFR)が市場調査や企業のOS移行の動向などから独自に集計した結果によると、Windows 2000で稼働するサーバは10万台以上、クライアントマシンは20万台以上になるという。サポート終了によって、Microsoftから脆弱性を解決するための修正パッチが提供されなくなるため、ユーザーは脆弱性を悪用する攻撃に対処できなくなる恐れがある。
FFRとソフォスは5日、共同で記者説明会を開催し、Windows 2000に関するセキュリティ上の問題について、以下のポイントを指摘した。
FFRとソフォスによれば、2000年代前半に発生した世界的なマルウェア感染問題によって、Windows XP SP2以降の製品でセキュリティ対策機能が強化されてきたが、問題が発生する以前にリリースされたWindows 2000には脅威に備える機能が少ないという。XP SP2以降の主なセキュリティ機能にはWindowsセキュリティセンターやWindowsファイアウォール、ユーザーアクセス制御(UAC)、Windows Defender、データ実行防止(DEP)などがある。
またFFRは、Windows 2000とWindows Server 2003で報告される脆弱性の数が同水準で推移している点にも注目する。同社によれば、Windows NTは2004年にサポートが終了して以降、報告される脆弱性の数が年々減少した。しかし、Windows 2000とWindows Server 2003は共通利用されているソースコードが多いために、報告される脆弱性の数がほぼ同じであり、今後も減少する見込みは少ないという。
Windows Server 2003は2015年7月14日までサポートが継続されるが、この間に発見される脆弱性がWindows 2000にも存在する可能性が高いという。Windows Server 2003に発覚した脆弱性を悪用して、Windows 2000のシステムを狙う攻撃が発生する恐れがある。
IPAも同様の問題を指摘しており、サポートが継続しているOSへの迅速な移行を呼び掛けている。
Windows 2000のセキュリティ問題に抜本的に対処するには、IPAが推奨しているように、脆弱性の修正パッチが提供されるOSに移行するのが望ましい。だが、FFRやソフォスによれば「経済情勢から移行するための予算を確保できない」「経営者の理解不足で許可が下りない」といった声を寄せる情報システム担当者が少なくない。今年1月ごろからWindows 2000のセキュリティ対策に関する相談が増えているという。
このためソフォスは2012年7月31日まで、FFRは同年12月31日までWindows 2000向けのセキュリティ対策を提供する。ソフォスの対策はウイルスの検出・駆除、FFRの対策は脆弱性攻撃の阻止で、2社では相互に補完できる対策としている。
今のところ2社以外にWindows 2000への対応方針を明確に打ち出しているセキュリティ企業はないが、Microsoftのサポート終了に伴って、セキュリティ対策の提供を取りやめるところが少なくないようだ。
ある外資系セキュリティ企業のマーケティング担当者は、「ベンダーの取り扱いが終了した製品のサポートには責任が持てない。ユーザーに移行をお願いせざるを得ない」とコメント。また別のセキュリティ企業の営業担当者は、「大規模顧客であれば個別対応するが、すべての顧客の要望に応えるのは難しい」と述べている。目前に迫ったWindows 2000のサポート終了をきっかけに、OSやアプリケーションにおける脆弱性対応の限界が改めて浮き彫りになっている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.