はじめに
サイバーセキュリティの強化に取り組むにあたり特に注意すべき要素のひとつが、サポートが終了したソフトウェアを使い続けることの危険性です。その中でもパソコンやスマートフォンをはじめとしたさまざまな機器で利用されているOSは、サイバー攻撃が行われた際に特に脆弱な標的として狙われる恐れがあります。そこで本記事では、OSのサポート切れに付随するリスクと対処法を、実際に発生した事例とともにご紹介します。
OSのサポート切れにともなうリスク
OSに限らずソフトウェア全般を快適に利用するためには、ベンダから提供される更新プログラムを随時適用する必要がありますが、更新プログラム提供をはじめとしたサポートは、一定期間で終了する場合がほとんどです。以下では、そうしたサポート切れのOSを使い続けることにより発生するリスクについて挙げていきます。
不具合発生の際の対処
OSに限らずソフトウェア全般について、サポート終了後は不具合が発生した際の対処が難しくなります。自社で不具合の解決手段を開発するのは技術力が必要であり、外部の技術者に依頼するとコストがかさむため、どちらも簡単ではありません。
OSの場合は、業務を円滑に遂行できなくなる、保存しているデータを失うといったようにほかのソフトウェアよりもリスクが大きいため、早期対応が不可欠です。また、OSのサポートが終了する際にはハードウェアも経年劣化している場合が多いため、物理的な破損による動作不良のリスク増加にも留意して対処する必要があります。
周辺機器やほかのソフトウェアとの連携
OSのサポート終了後は、当該OSでの各種周辺機器やソフトウェアの動作が保証対象外になってしまう可能性があります。その結果、問題が生じた際にベンダに頼れず、周辺機器やソフトウェアを買い替える手間とコストがかかってしまいます。
その上、新製品は最初からサポートが終了したOSでの動作を保証していない場合も多く、サポート切れからの期間が長くなるほど、周辺機器やソフトウェアとの連携が難しくなるおそれがあります。
セキュリティ上の危険性
サポートが終了したOSは、利用しているセキュリティソフトの動作保証対象外になる可能性があります。動作保証の対象外になり、うまくアップデートできないと、セキュリティソフトを導入していても安全ではありません。
トラブル発生の可能性が高くなってしまうだけではなく、インシデントの際にもベンダに頼れず、独自対応が必要になるため緊急時の業務負荷も増えてしまいます。
サポート切れのOSにより被害が拡大した事例
サポート終了後のOS利用を続けるリスクについて考える参考に、3件のインシデント事例をご紹介します。
ランサムウェア「WannaCry」による事例
2017年、多くのパソコンがランサムウェア「WannaCry」に感染する世界規模のインシデントが発生しました。感染規模は150ヵ国以上で30万台以上ともいわれ、感染したコンピュータ内のデータを暗号化して復旧と引き換えに身代金を要求するという攻撃手法で、大手企業だけでなく中小企業や政府機関・個人ユーザにも被害が広がりました。
WannaCryは、インターネットやLAN(Local Area Network)といったネットワークを通じて、Windows SMB(Server Message Block)ファイルサーバの脆弱性を持つ端末を探して感染します。次に、感染した端末で自己増殖して、コピーをネットワーク上の別の端末に送るといった方法で感染を広げます。この脆弱性を悪用した感染と増殖を繰り返す手法は、当時ランサムウェアで主流だったメールにファイルを添付する攻撃手法と異なり、感染に端末ユーザの操作を必要としないため、感染は爆発的に拡大しました。
WannaCryによるインシデントが発生した当時、すでにサポートが終了していたWindows XPが世界的に普及しており、全世界的にアップデートや修正パッチ適応といった対策が十分ではなかったことが被害拡大の一因とされています。このインシデントは、ランサムウェアの脅威と同時に、サポート切れOS利用の危険性を全世界に知らしめることになりました。
水道局への不正侵入事例
2021年2月、米国フロリダ州の飲料水処理施設において、監視制御およびデータ収集(SCADA)システムが不正アクセスされる事件がありました。この事件では、攻撃者がリモートデスクトップアプリケーションであるTeamViewerを介して水処理施設のコンピュータにアクセスし、水酸化ナトリウムの濃度を危険なレベルにまで引き上げようとしました。しかし、水処理施設の職員がすぐに投薬量の変更に気づいた結果、供給される水は影響を受けず、人的被害は発生しませんでした。
この不正アクセスが起こった要因としては、施設における制御ネットワークとインターネット間のルータ・ファイアウォール設置不備やパスワードの強度不足のほか、2020 年 1 月にサポートが終了したWindows 7 を使用し続けていたことが考えられています。
電力網への攻撃事例
2022年10月、ウクライナの電力会社の送電線網に対するサイバー攻撃が行われました。この攻撃では、ロシアの脅威グループとして知られるSandwormがウクライナの変電所の運用技術(OT)環境のSCADA(監視制御およびデータ収集)システムをターゲットとし、ウクライナ全土の重要インフラに影響を与えました。
SCADAシステムは、インフラや産業プロセスを監視および制御するために使用される技術であり、センサーやその他のデバイスからデータを収集し、オペレーターにプロセスの状況をリアルタイムで提供します。この電力会社で使用されていたSCADAソフトウェアはすでにサポートが終了している古いバージョンのものであり、セキュリティ上の脆弱性があった可能性が考えられます。
OSのサポート切れに備える方法
OSのサポート終了は突然訪れるものではありません。期日が迫った際に慌てないように、具体的に何をすべきかのポイントを整理しておきましょう。
日頃の情報管理を徹底する
日常的に、OSをはじめ社内で利用している機器やアプリケーションの情報を整理しておきましょう。OSは導入時期によって端末ごとにバージョンが異なる場合があります。また一人ではなく複数ユーザが利用しているといった理由で、管理責任が曖昧になってしまっている場合もあります。そのため、機器を誰が管理しているのかといったユーザ情報とセットで記録しておくと管理漏れを防ぎやすいでしょう。
OSベンダやパソコンメーカなどがサポート終了時期についての情報を発信しているため、定期的に確認するのも重要です。サポート終了日は、End of Life(EOL)やEnd of Service Life(EOSL)と表現される場合もあるため、英語で調べる際にはこれらの単語も検索してみるとよいでしょう。
ほかにも、信頼できる情報ソースとして公的機関の情報も有用です。経済産業省所管の、独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)は、「重要なセキュリティ情報 」としてサポート終了にともなう注意喚起をWebサイトに掲載しています。米国の政府機関CISA(Cybersecurity and Infrastructure Security Agency)が2021年11月に公開した「Known Exploited Vulnerabilities Catalog (既知の悪用された脆弱性カタログ)」も便利です。このカタログは、対処しなければ危険だと米国政府が判断した「攻撃に悪用されている脆弱性のリスト」であり、不定期で更新されています。WindowsやChromeといったなじみのある製品が数多くリストアップされており、IT技術者やセキュリティ担当者にとって、優先的にどの脆弱性に対応するかの参考として有用です。
サポート終了に対する準備をする
OSのサポート終了期日が近づく前に、計画的に準備を進めましょう。
一番簡単な対処方法は、サポート対象である最新OSへの移行やアップグレードです。ただし、新OSに社内で利用している業務システムやアプリケーションが対応していない可能性があるため、動作環境についてそれぞれ確認が必要です。
サポート終了までにOSの移行やアップデートが難しい場合は、さまざまな企業が提供している「延命ソリューション」を活用してセキュリティリスクを軽減する対応方法もあります。延命ソリューションとは、法人向けに、開発元や第三者が提供する有償の延長サポートサービスです。こうした有償の延長サポートを受けることで、サポート終了後も安全を担保できます。
ただし、最新の周辺機器やソフトウェアとの連携が担保されないといったリスクを完全には避けられないため、OSの移行やアップグレードまでの時間稼ぎとしての利用が望ましいでしょう。
大規模なインシデント発生に備える
自社が被害に遭っていないとしても、大規模なインシデントには日頃から注意を払いましょう。上述の独立行政法人情報処理推進機構(IPA)以外にも、事件に関する情報は警視庁、ネットワークインフラに関わる情報は総務省からも情報が拡散されます。
簡単な対策で未然に被害を防げる場合もあるため、インシデントに関する情報には常にアンテナを張っておくのが理想です。
まとめ
OSのサポート切れを狙ったサイバー攻撃を未然に防ぐことは、セキュリティ対策として重要です。さらに、注意すべきはOSだけではありません。さまざまなソフトウェアの動作保証や安全な運用のためには、OS上で動作するアプリケーションや社内システムなどの情報も同時に管理し、最新の状態に保つ必要があります。また、サイバー攻撃のトレンドに関する知識を常にアップデートしつつ、予防措置を取ることも求められます。
しかし社内担当者だけでは手が回らず、十分な対策が難しいといった企業も少なくありません。そういった場合は、業務の外部委託を検討してみてはいかがでしょうか。
セラクには専門性の高いセキュリティ技術者が多数在籍し、クラウドサービスの導入支援や情報システムに関するマネージドサービスなど、幅広く支援しています。自社のIT環境に疑問・不安・お悩みなどございましたら、ぜひセラクへご相談ください。
