ITmedia NEWS > セキュリティ >
ニュース
» 2019年05月23日 07時00分 公開

ITの過去から紡ぐIoTセキュリティ:Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は? (1/3)

Microsoftが5月、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムを用意。サポート切れなのに修正プログラムを提供するのはなぜ?

[高橋睦美,ITmedia]

 セキュリティ対策の基本の1つは「最新のパッチを適用すること」です。不正アクセスの多くは、OSやアプリケーションに存在する脆弱性を突いて行われます。従って、最新のパッチを適用して脆弱性を修正すればリスクは減らせます。

 ということで、多くのソフトウェアベンダーやオープンソースソフトウェア開発コミュニティーは、何らかの脆弱性が発覚したり、指摘されたりすると、それらを修正するパッチや新バージョンをリリースしています。中でも米Microsoftは毎月第2火曜日(日本時間では水曜日)に、定期的にセキュリティ更新プログラムを提供してきました。

 ただ、2019年5月の更新プログラムには、ちょっと驚くことがありました。脆弱性の影響を受け、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムが用意されたことです。

photo Windows XPは2014年4月にサポートを終了している=Microsoftの公式サイトより

 Windows XPは14年4月、Windows Server 2003は15年7月と、数年前にサポートが終了しています。サポート終了とは、それ以降はたとえ脆弱性が発覚しても、修正プログラムは提供されず、攻撃のリスクにさらされることを意味します。今回は、その原則を破ったパッチ提供というわけです。

連載:ITの過去から紡ぐIoTセキュリティ

 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。

 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。

繰り返される「例外措置」の背景

 この「例外措置」は、今回が初めてではありません。実は、サポートが終了した直後の14年5月に早速、Windows XP向けも含めた緊急アップデートが提供されたことがありました。またご記憶の方も多いでしょうが、ランサムウェア「WannaCry」が急激に拡散した17年5月にも、「極めて異例の手段」として、Windows XPやWindows Server 2003向けに、WannaCryが悪用するSMBv1の脆弱性を修正するプログラムを公開しました。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.