Windows XP を 2014 年 4 月のサポート終了後も使い続けることのリスク
本記事は、Microsoft Security のブログ “The Risk of Running Windows XP After Support Ends April 2014” (2013 年 8 月 15 日公開) を翻訳した記事です。
今年の 4 月、私は Windows XP のサポート終了に関する「カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了」というタイトルのブログを投稿しました。それ以来、話す機会のあった多くのお客様が、所属組織で Windows XP から Windows 7 や Windows 8 などの最新オペレーティング システムへの移行を完了したか、または現在移行作業を進めています。
実際のところ、事態は切迫しています。というのも、2014 年 4 月 8 日以降、Windows XP Service Pack 3 (SP3) ユーザーには、新しいセキュリティ更新プログラム、セキュリティ以外の修正プログラム、無償/有償の支援サポート オプション、オンライン技術コンテンツの更新は提供されなくなるからです。つまり、Windows XP のサポート終了後に新しい脆弱性が発見されても、マイクロソフトは新しいセキュリティ更新プログラムでの対処を行わないということです。それでも何らかの理由により、4 月 8 日までに Windows XP からの移行を完了するのが困難だというお客様もいます。さらに、Windows XP を実行しているハードウェアが故障するまで移行するつもりがないというお客様もいます。
Windows XP をサポート終了後も使い続けることのリスクにはどのようなものがあるでしょうか? 第 1 のリスクは、攻撃者が優位に立つことです。実際、Windows XP ユーザーよりも攻撃者のほうが Windows XP の脆弱性情報をより多く入手できます。その理由を説明しましょう。
マイクロソフトがセキュリティ更新プログラムをリリースすると、セキュリティ研究者やサイバー犯罪者は即座にリバース エンジニアリングを行い、その更新プログラムが解決する脆弱性を含むコードの具体的な場所を特定します。 脆弱性を特定すると、セキュリティ更新プログラムをインストールしていないシステムを悪用するためのコードを開発します。さらに、同一または同様の機能を持つ他の製品にも同じ脆弱性がないか特定しようとします。たとえば、あるバージョンの Windows で脆弱性が解決された場合、研究者は他のバージョンの Windows にも同じ脆弱性がないかどうか調査します。同様の調査を行う攻撃者からユーザーを保護するため、マイクロソフト セキュリティ レスポンス センター (MSRC) は通常、影響を受けるすべての製品のセキュリティ更新プログラムを同時にリリースしています。これによりユーザーは、攻撃者がリバース エンジニアリングを行う前に、影響を受けるすべての製品のセキュリティ更新プログラムを入手できるため、攻撃者よりも優位に立つことができます。
しかし、2014 年 4 月 8 日以降も Windows XP を使い続ける組織は、こうした攻撃者に対する優位性を失ってしまいます。マイクロソフトが、サポートされているバージョンの Windows のセキュリティ更新プログラムをリリースすると、攻撃者はひと月もたたないうちにリバース エンジニアリングを行って脆弱性を特定し、Windows XP にも同じ脆弱性があるかどうかを調べあげてしまいます。同じ脆弱性があった場合、攻撃者は悪用コードを開発し、Windows XP の脆弱性に付け込もうとします。これらの脆弱性に対する Windows XP 用セキュリティ更新プログラムはもはやリリースされないため、Windows XP は「ゼロ デイ」脆弱性を永久に抱えることになります。このような事態はどのくらいの頻度で起こるのでしょうか? 2012 年 7 月から 2013 年 7 月の間、Windows XP は 45 件のマイクロソフト セキュリティ情報で影響を受ける製品として記載されました。うち 30 件では、Windows 7 と Windows 8 も影響を受ける製品でした。
私が相談を受けたユーザーの中には、Windows XP にはセキュリティ緩和策が組み込まれているため、悪用される危険性は低いと指摘する人もいます。また、ウイルス対策ソフトウェアにより攻撃をブロックし、感染を除去することも可能です。しかし問題なのは、システムのコンピューティング ベースを信頼できるかどうかがわからないことです。攻撃者は Windows XP のゼロ デイ エクスプロイトに関する公開情報を握っており、システムに侵入して任意のコードを実行できる可能性があるのです。さらに、このような状況下で、ウイルス対策ソフトウェアが使用するシステム API が信頼できるのかという問題もあります。一部のユーザーにとっては、システムの完全性に自信を持てなくても問題ないかもしれませんが、多くのユーザーにとって、これは受け入れられるものではありません。
また、Windows XP Service Pack 3 に組み込まれたセキュリティ緩和策は、数年前の開発当初は確かに最新のものでした。しかし、マイクロソフト セキュリティ インテリジェンス レポートのデータによると、Windows XP に組み込まれたセキュリティ緩和策は、最新の攻撃からの保護には不十分です。Windows オペレーティング システムのマルウェア感染率データによると、Windows XP の感染率は、Windows 7 や Windows 8 などの最新オペレーティング システムと比べて飛躍的に高くなっています。
図 1: 2012 年第 4 四半期のオペレーティング システムおよびサービス パック別の感染率 (CCM)、マイクロソフト セキュリティ インテリジェンス レポート第 14 版より
私は最近、悪用活動の調査結果についてまとめた「ソフトウェアの脆弱性悪用の傾向 - 脆弱性悪用のパターンに対するソフトウェア緩和策の影響に関する調査結果」を発表しました。この 7 年間にわたる調査によると、攻撃者は、Windows XP の主なセキュリティ緩和策であるデータ実行防止 (DEP) を打ち破るよう、攻撃を進化させてきました。図 3 は、DEP が有効化された場合に緩和されたエクスプロイトを持つ Common Vulnerabilities and Exposures (CVE) の数と、DEP をバイパスしたエクスプロイトを持つ CVE の数を比較したものです。2007 年と 2008 年を除いて、エクスプロイトを遡及して無効化する DEP の機能は明らかに低下傾向になっています。この傾向は、DEP の効果がなくなったのではなく、DEP があらかじめ有効化されていて、多大なコストと複雑性を要する環境に合わせた変化を攻撃者が強いられたことを示しています。DEP をバイパスしたエクスプロイトを持つ CVE の数がこの証拠です。
図 2 (左): 特定の悪用技術を使用して悪用された CVE の数; 図 3 (右): DEP が有効化された場合に緩和されたエクスプロイトを持つ CVE の数と、DEP をバイパスしたエクスプロイトを持つ CVE の数の比較
 |
|
この新しいデータは、個人および組織が現在直面する主な脅威が、Windows XP Service Pack 3 リリース時とは大きく異なることを示しています。Windows XP Service Pack 2 以降のオペレーティング システムで Windows ファイアウォールを有効化したことで、攻撃者は攻撃を進化させることを余儀なくされました。攻撃者は現在、リモート サービスを積極的にターゲットにすることよりも、Web ブラウザーやドキュメント リーダーなどのクライアント アプリケーションの脆弱性を悪用することに目を向けています。さらに攻撃者は、より効果的に脆弱性を悪用できるようにするために、独自のツールや技術を過去 10 年にわたり改良し続けています。そのため、Windows XP に構築されたセキュリティ機能は、現在の脅威を防ぐには十分ではありません。図 4 が示すように、Windows 8 は Windows XP よりもはるかに優れたセキュリティ緩和策を備えています。Windows 8 に組み込まれた新しいセキュリティ緩和策の詳細については、前述の調査資料をご覧ください。
図 4: 下の表で Windows XP Service Pack 3 上の Internet Explorer 8 でサポートされる緩和機能と、Windows 8 上の Internet Explorer 10 でサポートされる緩和機能を比較しています。 この表が示すように、Windows 8 上の Internet Explorer 10 は、Windows XP 上の Internet Explorer 8 には適用されない多くのプラットフォーム セキュリティ改善
策から恩恵を受けています。
組織は、システムの完全性について一定の安心感を必要とします。この安心感は、サポートされないオペレーティング システムを実行するシステムの数を可能な限り少なくすることで得られます。Windows XP のサポートは 2014 年 4 月 8 日に終了します。
Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)