もはや救いの手は残されていない。数日後、マイクロソフトはWindows XPの一般ユーザー向けサポートを打ち切る。アップデートやセキュリティパッチの提供もなくなり(最低限のマルウェア対策は除く)、このレガシーOSは攻撃の標的となることが予想される。しかし、「Windows XP大惨事」はどれほど深刻なものになるのだろうか?その真相を探るため、複数のセキュリティ専門家に話を聞いた。
本当のリスク:容赦ない攻撃
サポート終了は大したことではないように思えるかもしれません。Windows XPは2001年のリリース以来、マルウェアやサイバー犯罪者からの攻撃をほぼ絶え間なく受けてきました。Windows XPユーザーはこれまで比較的うまく自己防衛を図ってきましたが、Microsoftのサポートが終了したらどうなるのでしょうか?
セキュリティ専門家はいくつかのシナリオを予測しています。より不吉なのは、攻撃者が既にWindows XPの「ゼロデイ」エクスプロイトを大量に開発しており、Microsoftのサポート終了を待ってそれらを解き放つというものです。
期限はドラマチックな展開を生む一方で、セキュリティ関係者の中には、攻撃者が待ち伏せしているという考えを否定する者もいる。「もし『黙示録』が来るとしたら、もう既に来ているのではないでしょうか」と、CloudPassageのDevOpsディレクター、アンドリュー・ストームズ氏は言う。彼は、マイクロソフトが4月8日までにエクスプロイトのトリアージ、パッチの開発、適切なテストを行う時間があまりにも限られているため、サイバー犯罪者にとっては今すぐ攻撃を開始しても全く問題ないだろうと指摘する。
一部のセキュリティ専門家は、XP が冷める前にサイバー犯罪者が攻撃を開始するだろうと予測している。
より可能性が高いのは、サイバー犯罪者がMicrosoftの毎月のセキュリティ修正プログラム公開であるPatch Tuesdayを、Windows XPの脆弱性を見つける新たな機会として利用するという点です。なぜなら、Windows XPの脆弱性の多くは、サポートされているすべてのバージョンのWindowsに共通しているからです。MicrosoftはWindows Vista、Windows 7、Windows 8のセキュリティホールを継続的に特定するため、悪意のある開発者はパッチをリバースエンジニアリングして脆弱性を特定し、Windows XPに同じ脆弱性が存在するかどうかを確認し、それを悪用するエクスプロイトを開発することができます。
「すべての脆弱性は永遠に残る」
終末論の高まりは、あのもう一つの頭字語による終末問題、Y2Kを彷彿とさせます。しかし、LancopeのCTOであるTK Keanini氏は、この比較は正確ではないと述べています。「4月8日に起こることは、Y2Kのように何かが壊れたり突然脆弱性が生じたりするようなことではないという点に留意することが重要です。これは、新たな脆弱性が発見されても修正できないという事実です。…[Windows XP]のあらゆる脆弱性は、4月8日以降も永遠に存在し続けるのです。」
Windows XP を使用しているマシンがまだ何億台もあることを考えると、これは憂慮すべきことだ。Fiberlink の新しいデータによれば、企業の 44 パーセントがまだ何らかの形でこのオペレーティング システムを実行しているという。
CigitalのiCTO、ジョン・スティーブン氏によると、これは主にプラットフォームに投入された時間と労力、そしてゼロから始めるのではなく、新しいOSとアプリケーションを評価し改良するという賭けに出る覚悟によるものだという。「結局のところ、企業は、たとえ改善を祈らなくても、知らない悪魔に移行するよりも、知っている悪魔に留まることを選ぶ傾向があるのです。」
ストームズ氏は、4月8日のWindows XPへの攻撃については懐疑的だが、それ以降に何らかの注目すべき攻撃が行われると考えている。しかし、企業も個人もこの瞬間に備えて何年も準備してきたとストームズ氏は強調する。Windows XPを使い続けることに固執する人は、賢明な判断としてWindows XPを隔離すべきだと警告する。つまり、リスクへの露出を最小限に抑えるため、社内ネットワークとパブリックインターネットからWindows XPを切断すべきだ。
ランコープのキーニニ氏はもっと率直だ。「4月8日にサポート終了を迎えるXPの亜種をお持ちなら、すでに壊れているかのように扱い、迅速に交換対応をする必要があります」と彼は言う。「火事になったと想像してみてください。そうすれば、適切な緊急性で対応できるはずです」
Keanini氏は、企業は自社の「四方の壁」を超えて考える必要があると警告しています。IT資産(ハードウェアとソフトウェア)の耐用年数とサポートスケジュールを把握し、危機的状況になるまで待つのではなく、積極的に資産の移行、更新、交換を行う必要があるのです。
しかし、Tripwireのシステムエンジニアリング担当シニアディレクター、ブライス・シュローダー氏は、Windows XPを使い続けている人々にとって、必ずしもこれが破滅の始まりではないかもしれないと指摘しています。多くのセキュリティベンダーが、今後2年間Windows XPの保護をサポートすることを約束していると彼は述べています。また、レガシーアプリケーションを実行したい場合は、新しいオペレーティングシステム上の仮想環境でWindows XPを実行できるだけでなく、より安全なプラットフォームを利用することで安心感も得られると指摘しています。
自己責任で進めてください
Windows XPのサポートが派手に終了するか、ささやかに終了するかに関わらず、感染率が上昇することは間違いありません。おそらく3分の2ほどにまで上昇するでしょう。そして、Microsoftからの救済措置がなくなることで、ユーザーは月を追うごとにより大きなリスクにさらされることになります。毎日がゼロデイ攻撃になるのでしょうか?あなたは幸運を感じているのでしょうか?
