日本マイクロソフトはこのほど、「Windows XPサポート終了に向けたセキュリティ対策」と題した記者説明会を開催した。Windows XPのサポート終了についてはさまざまなルートを通じてこれまでも何度かユーザーを対象にした告知を行ってきたマイクロソフトだが、実際にWindows XPのサポートが終了するとどういった問題が発生し、どんな不都合が生じるのか。サポート終了まで2カ月を切った現在、ここで改めてまとめてみたい。
Windows OSのサポート期間についてはこれまで何度か紹介してきた通り。2014年2月現在、Windows XPは「メインストリームサポート」がすでに終了し、間もなく「延長サポート」も終了する。つまり2014年4月9日(日本時間)のWindows XPサポート終了日は、この「延長サポート終了日」のことを意味する。
「ケチケチせずにサポートを続けてくれればいいじゃないか、まだ使えるんだし」と思う方は多いかもしれない。Windows XPは2001年に発売され、すでに最大で12年半ほど稼働しているOSだ。ドッグイヤーといわれるITの世界での12年という寿命は驚くべき長さだというのが筆者の感想だ。問題なく動いているようであっても、内部で使われている技術はすでに時代遅れのものとなってしまっているものも少なくはなく、現在のトレンドにそぐわない状態にある。
2001年といえば、PCの普及台数が爆発的に伸びていた時期だ。一方で、インターネットの利用率は2014年現在と比べると低く、攻撃の手段もそれほど複雑で即効性のあるものではなかった。こちらはインターネットを利用可能なデバイスがPCに限定されていたというのも当時の特徴だ。
だが2014年現在はどうか。Webサイトの数だけでなく、アクセスするユーザー数、アプリケーションの種類も膨大なものになっており、管理の複雑性が増している。もちろんデバイスの種類もPC以外に、携帯電話・スマートフォンやタブレット、携帯ゲーム機などにも拡大し、インターネットアクセスは家の固定回線だけでなく、公衆Wi-Fiやもモバイルネットワークを介した無線アクセスが主流になってきた。これは攻撃者のアクセスルートを広げることも意味し、それだけ対策方法も複雑になってくる。OSやプロセッサ側もこうしたトレンドの変化を受け、内部を多重化して直接システム本体を攻撃されないよう工夫・対策した結果、Windows XP発売当時とは比較にならないほど複雑でかつ堅牢になっているというわけだ。技術的にみても10年一昔という状態で、現在でもがんばって稼働しているといった具合だ。こうした内部機構はOS部分の改修のみでは対応が難しく、「より洗練された形で最初から設計された最新OSと最新PCを……」というのが、OSメーカーであるマイクロソフトからの要望だ。
「OS自体がすでに増改築を重ねた、古くて不安定なもの」というのがサポート終了の理由だとすれば、これがなぜユーザーにとって不利益となるのか。住宅に例えるとまだ住めるし、自家用車に例えるとまだ乗れる──それと同じような感覚だと思う。
前述したようにサポートが終了したバージョンでは、原則としてセキュリティ対策は行われない。Windows XPについては2014年4月9日(日本時間)が最終日ということになり、この後に発見された不具合や脆弱性を攻撃者側に突かれると、システム的に防御が難しく、攻撃に対して無力になる。Windows XPにもまだ何らかの不具合が内包されている可能性は高く、また技術の進歩により当時は思いもしなかった新たな手段による攻撃もありえる。ファイアウォールなどで対応できる程度であればよいが、攻撃者としてもそんな部分は想定済みと思われる。住宅で例えると崩れそうだけど改修しません/できませんという状態、自家用車では自賠責保険切れで走ることに例えられる。自分以外に、他人にも影響を及ぼす可能性があるわけだ。
ともあれ、サポートが継続しているOSであれば定期的にアップデートが提供されるため、こうした不具合は定期的にふさいで対処できる。さらに最新バージョンは機構的にも基礎防御力も高いため、未知の不具合や攻撃に対してもある程度抵抗できる。それが「XPよりも新OSのほうが安全」といわれる理由だ。
セキュリティリサーチ会社 FFRIが発表したデータによれば、Windows XPはWindows Vistaと共通のシステムコンポーネントが多く、Vistaで発見された攻撃方法がそのままXPにも通用する可能性が高いという。この場合、Vistaではサポート期間(延長サポート期間)が2017年までセキュリティパッチ/アップデートの提供は当然行われるが、XPでは無防備のまま放置されることになる。
依然デスクトップOSシェアの3割を有するというWindows XPマシンは格好の攻撃対象だ。自分のマシンのファイルが破壊されたり、自分の情報を抜き取られる程度ならまだしも、他者の個人情報も合わせて盗まれ、さらに自分のマシンを踏み台にしてさらなる攻撃に用いられてしまうのがとくに怖い。この場合、個人も法人も「知らなかった」では済まされない事態になることは想像に難くない。攻撃者としては「サポート終了対策程度もしていないシステムはカモ」というわけだ。
Copyright © ITmedia, Inc. All Rights Reserved.