Windows XPが招く「最悪のシナリオ」さよならWindows XP

Windows XPをクライアントOSとして使い続けている企業は少なくない。しかし、そのままではベンダーの今後の対応次第でセキュリティの確保が難しくなることもある。その「最悪のシナリオ」を考えてみよう。

» 2011年11月04日 17時00分 公開
[敦賀松太郎,ITmedia]

 マイクロソフト現行の最新OS、Windows 7が提供されてから久しいが、いまだにWindows XPをクライアントOSとして使い続けている企業は多い。サポート終了まで残すところ2年半。バージョンアップがこれ以上遅れればリスクは高まる一方だ。中にはこんな最悪のシナリオもあり得るのではないだろうか。

日常業務が招いた最悪の事態

 製造業A社は、首都圏に本社と数カ所の生産拠点を持つ、中堅の製造業企業である。顧客の中心は世界に名立たる大手メーカーであり、A社が提供する製品は高品質と低価格が高く評価され、ここ数年は順調にシェアを拡大していた。

 ところが、ある事件をきっかけに、A社の信用は失墜。ついに経営破たんという事態になり、海外投資企業のB社によって買収された。A社が長年に渡って蓄積してきた製造技術やノウハウはB社によって解体、同業種の新興国企業に事業単位でバラ売りされてしまうという事態に陥った。この一連の経営破たんを招いたそもそものきっかけは、ある営業部門の社員が通常業務の一環として情報収集のために閲覧していたWebページだった。

 A社営業部門に勤務していたK山は、A社の事業拡大のために仕事に邁進するバリバリのビジネスマンだった。主にマーケティングを担当していたK山は、顧客拡大のために独自に市場や競合製品の動向を日々調査し、それをプレゼンテーション資料にまとめてアカウント担当者の営業活動を支援するという役割を担っていた。自分が作成する資料によって商談がまとまり、アカウント担当者に感謝されることに、K山は仕事のやりがいを感じていた。

 その日もK山は、資料の参考にするための情報収集活動を行っていた。A社では、セキュリティ対策の一環として、社内から閲覧できるWebサイトに制限を設けている。しかし、K山のような情報収集を業務とする社員だけは、ほぼ自由にWebサイトを閲覧できる権限が与えられていた。K山は、官公庁のWebサイトで毎日公開される公報にひととおり目を通し、競合する他社の製品動向を企業のWebサイトで確認。さらに、製品に対する評判や口コミを見るという業務を午前中に行うことを日課としていた。

 いつものようにWebブラウザを使い、検索エンジンのキーワード検索でヒットしたWebページを片っ端から閲覧していたK山は、製品についての口コミが詳細に書かれたWebサイトを見つける。興味を持ったK山は、Webページにあったリンク先も閲覧してみた。いくつかのリンクは海外のWebサイトにあり、一部のリンク先はすでにWebページが存在しなかったり、移転・閉鎖を示すWebページに飛ばされたりした。こういうことは、情報収集していればよくあるものだ。その日も情報収集を終え、プレゼンテーション資料作成に取り組んでいた。

信用の失墜、そして企業の消滅

 だが、このときK山が使っているクライアントPCでは、とんでもないことが起きていた。

 K山が閲覧していたWebページの中にマルウェアが仕込まれていたのだ。それも、延長サポートが終了し、すでにセキュリティ修正プログラムの配布も行われていないWindows XPを狙ったマルウェアだった。

 実は、A社では製品の競争力を高めるために低価格路線を進め、社内にはどんなことにもコスト削減意識を持たせる風潮があった。情報システム関連のコストも例外ではなく、業務に支障がなければ、古くても壊れるまで使い続けることが当たり前になっていた。

 こうしたA社の方針に対し、情報システム部門で働くS木は違和感を感じつつも、情報システム関連機器をリプレースするために経営層を納得させる策を持っていなかった。さすがに、ビジネスに直結する基幹業務システムや全社のサーバに関しては、おおむね5年のライフサイクルで更改していたが、クライアントPCはそれほど気にも留めていなかった。エンドユーザーも、使い慣れているWindows XPのクライアントPCを変更する必要はないという意見が大勢を占めていたため、文句を言われてまで新しくする必要はなく、サポート終了までにリプレースすればよいだろうと高をくくっていた。

 後回しにしていたクライアントPCのリプレースだったが、Windows XPのサポート終了を迎え、S木もいよいよもって着手しなければいけないと準備を始めていたその矢先、事件は起きた。K山が閲覧したWebページから侵入したマルウェアは、クライアントPCで密かに実行され、K山がアクセス権限を持つ社内の機密情報を漏れなく外部に流出させ始めたのだ。

 発覚したのは、3日後のことだった。営業部門のアカウント担当者のもとに、顧客から苦情の連絡が入ったのだ。どうやら、顧客企業の担当者の個人情報が、海外の無料アップローダで晒されているという。調査を依頼されたS木は、驚きを隠せなかった。個人情報のみならず、機密扱いだった技術情報までが漏えいしていたのである。Webサイトへのアクセスや外部メディアによるデータの持ち出しは、万全なセキュリティ対策を施しているつもりだったのに・・・。

 K山のクライアントPCに侵入したマルウェアは、まさにサポート終了になったWindows XPをターゲットにしたものだった。サポート終了後に発見されたWindows XPの脆弱性を突いたもので、すでにサポートを打ち切っていたマイクロソフトも把握できていなかったという。サポートが打ち切られた古いOSを使い続けることが、どれだけリスクを伴うか、S木は身を持って知らされることになった。

 顧客から情報漏えいを指摘されたA社は、守秘義務違反によって取引停止を通知される。信用が大きく失墜したA社から顧客が次々と離れ、ビジネスは完全にストップしてしまった。経営破たんに陥ったA社は、最終的に海外投資企業のB社に買収され、A社が培ってきた技術は新興国へ流出。日本の技術という視点からも、損失は決して小さいものではなかった。

 技術部門ではないK山も、リストラによる人事整理の対象になるという憂き目に遭うことになった。

サポート終了後に狙われるWindows XP

 この物語は、当然のことながらフィクションである。しかし、Windows XPを使い続けたから会社が潰れることなどあり得ないだろうと考えるのは、大間違いだ。

 Windows XPは、10年以上も前に作られたOSであり、すでにそのアーキテクチャは現時点の技術に見合ったものではない。だからOSの発売元であるマイクロソフトも面倒を見切れず、新しいOSへのバージョンアップを促している。

図 2011年9月時点の世界のOSシェア(出展:Net Applications)

 米国の調査会社 Net Applicationsによると、2011年9月における世界のOSシェアはWindows XPが47.29%であり、いまだに首位にあるという。現行の最新OSであるWindows 7は30.36%の2位であり、バージョンアップを後回しにしている企業は、世界的にも非常に多いことが窺える。今は不自由なく使えているし、セキュリティパッチも提供されているのなら、移行が急速に進まないのは、ある意味当然なことだ。

 しかし、悠長なことは言っていられない。Windows XPを使い続ける企業のPCを狙ったマルウェアが登場してくる危険性は、大いにあり得る。こうしたリスクに対し、例えばウイルス対策ソフトウェアを開発するセキュリティベンダーはどのような施策を打って出てくるか、未知数な部分がある。Windows XPのサポート終了とともに、セキュリティのリスクがぐんと高まるWindows XP対応を荷が重すぎると判断し、対応OSから外すベンダーがあるかもしれない。一方でサポート終了を商機と捉え、しばらくWindows XP対応を謳うベンダーがあるかもしれない。

 ユーザー側としては今後のベンダーの動向を見極めるしかない状況だが、古いものを使い続けるのは、間違いなくコスト高になっていく。使い続けるのは自由だが、あくまでも自己責任である。

 Windows XPの延長サポートフェーズが完全に終了するのは、2014年4月。すでにカウントダウンは始まっている。そこまでに、Windows XPを使い続けるべきか否か、ユーザー自身が回答を出すしかないだろう。

Copyright © ITmedia, Inc. All Rights Reserved.