緊急特集緊急特集ウインドウズ

ライター:本田雅一(フリージャーナリスト)

http://about.me/mhonda/

概要

サポートが切れた「XP」は危険がいっぱい!

情報漏えい、金銭被害、取引停止!?
新OSやPCへの早期移行が必須

サポート切れのXPは、泥棒が入り放題のボロ屋に大金を置くようなものだ。
「もったいないから」と使い続けることは、様々な弊害をもたらすだけ。
リスクの高さを認識して、できるだけ早く新OSへと移行することが不可欠である。

「Windows XP」に対するマイクロソフトのサポートが終了したことは周知の通り。移行は問題なく済んだろうか。

ビジネス業務に深く根付いた基本ソフト(OS)だけに、いまだサポート再開や継続利用に対する要望が多く、「危険だというけれどパソコンは動くし何も問題ないのでは」との声もある。だが、XPパソコンを使い続けることは鍵や窓ガラスが壊れ、壁に穴が開いたボロ家に住み続けるようなもの。その危うさは、容易にイメージできるはずだ。

OSの弱点が放置される

では、サポートが終わったXPでは何が起きているのか。そもそもマイクロソフト(以下、MS)のサポートとは、OSを安全に使うためのアフターサービスであり、具体的な中身としてはセキュリティ更新プログラムの提供がメインとなる。

同プログラムの役割は、OSに存在する「脆弱(ぜいじゃく)性」というプログラムの欠陥を修正すること。脆弱性はセキュリティ上の弱点(セキュリティホール)となり、コンピューターウイルスや不正アクセスなどの多くは、セキュリティホールを狙って侵入してくるからだ。

サポート期間中は脆弱性が見つかると、すぐに修正のための更新プログラムが提供されたので、安全性が担保された。だが、サポートが終わった今、セキュリティホールが見つかっても修正されることなく放置されたままとなる。

脆弱性は、開発者のミスだけでなく想定外の使われ方や、攻撃技術の進化などにより常に見つかるもの。「これから新たな脆弱性が見つかり攻撃されることは確実」とされるだけに、リスクはかなり高い。

設計的に耐えられない

それならば、「サポートを継続すればいいのでは」という単純な話でもない。一見、不都合なく動作しているXPのサポートを終了するには深刻な理由がある。

端的にいえば、時代のトレンドに合わなくなったこと。「OSとして表面的には問題なく動いていても、内部技術はかなり時代遅れといわざるをえない」(MS)。最たる例が、セキュリティを取り巻く環境の変化だ。

2001年にXPが発売された当時はインターネットの普及段階で、ネットにつながる端末もほぼPCのみという状況。リスクもマニアの腕試しやウイルスに感染させて喜ぶ愉快犯的なものがほとんどだった。

現在、インフラが様変わりしたことは知っての通りだ。社内ネットワークに公衆無線、クラウドやリモートアクセスなど社内外のインフラの境界線はあいまいとなり、スマートフォンやタブレット端末、ゲーム機などネットにつながる端末も拡大した。これは、ウイルスや攻撃者がアクセスできるルートが拡大したことを意味する。

しかも攻撃は組織化され、感染や不正アクセスの手段は高度になっており、目的も金銭を奪うことだ。ネットリスクは、単なる迷惑行為から犯罪被害へと大きく変化している。

複雑かつ巧妙化した現在の脅威に対しては、Windows 7や8のようにシステム内部を多重化し、中核部分は直接的な攻撃にさらされない多層化設計が必要だ。「開発から十数年を経たXPのセキュリティ設計では、サポートを続けたとしても十分なリスク対策を講じられない」(MS)。

■XPとWindows 7や8の違い

住宅に例えると、XPは設計思想や工法が古く、築年数も経過。しかも、窓ガラスやドアの鍵が壊れた状態にも関わらず、それを修理することもできない(左)。これに対して、サポートが継続されている新OSはトレンドの設計思想に基づき、技術や工法も最新のものが採用されている。万一、不具合が見つかれば、すぐに修理対応してくれる体制が整う

セキュリティソフトだけでは不十分

脆弱性があり、設計も古い。それでも市販のセキュリティソフトがあれば問題ないのではないか。だが、答えはノーだ。

確かに、セキュリティ対策ソフトメーカーの多くは、XPで動作するバージョンに対しては定義ファイルや更新プログラムのアップデートサービスを継続している。だが、セキュリティソフトの役割はセキュリティホールを狙って攻撃してくるウイルスや不正アクセスを未然に検知してストップすることである。

MSが提供してきた更新プログラムのようにOSの脆弱性を修正するものではなく、セキュリティソフトを使ったからといって問題の根本的な解決にはならない。

どれほど優れたセキュリティソフトであっても、未知の攻撃も含めてリスクを完全に防ぐことは難しいはずだ。防御をすり抜けてOSのシステムに到達した時に、脆弱性だらけでは危険極まりないことは明らか。

もちろん一定の効果は見込めるだろうが、それもソフトの次期バージョンが発売されるまで。以降は、ほぼ無防備状態となってしまう。

■セキュリティソフトだけではXPを守りきれない

セキュリティソフトの役割は、警備員のようなもので、泥棒(ウイルスや不正アクセス)を未然にストップすることが目的。警備の隙をかいくぐって侵入されてしまうと、不具合の修理もできず放置されたボロ屋のXPではなす術がない

継続利用はデメリットばかり

この状況を例えると、強盗の侵入を未然に防ぐ防犯対策がないまま、ドアの鍵が壊れ窓ガラスも割れた建物に大金を置いておくイメージだ。

パソコンでいえば、大金とはネットバンクのIDやパスワード、社内の機密情報や顧客リスト、メールやSNSなどのアカウントといったデータのこと。無防備なXPパソコンを使い続けることは、こうした重要なデータを攻撃者に盗みやすくしているようなものである。

被害は甚大だ。前述したように攻撃者の狙いは金銭だけに、単なる情報漏えいでは終わらない。盗まれた機密データやアカウントをネット詐欺などに悪用されて第三者に損害を与えることにでもなれば、社会的信用を失うことはいうまでもないだろう。

万一のリスクが大きいだけに、XPパソコンを使い続ける企業とは取引をしない、あるいは入札への参加禁止といった事態にもなりかねない。現状では特に、そうした動きは報告されていないが可能性としては十分にあり得る。

また、MSによるXPのサポートが終わったことで、基本的にソフトや周辺機器でもアップデートの提供などが終わる。新製品では、XPは対象OSに含まれず、XP環境ではパソコン周辺の設備を新たに整えることは難しくなるなど、不都合が多い。

それでもXPを継続利用するには

とはいえ、予算的な問題など諸事情により、しばらくはXPを使い続けねばならないケースもある。その場合のリスク対策は、大前提としてネット環境に接続しないこと。さらに、外部メディアから感染することもあるため、USBメモリーなどの使用も避けるべきだ。

加えて、XPが最新版のSP3(サービスパック3/公開された修正プログラムをまとめたもの)となっていること、直近の更新プログラムを適用すること。2014年5月に、インターネット・エクスプローラー(IE)で脆弱性が見つかった問題では、例外的にXP向けに修正プログラムが配布されたので確認してほしい。

ただし、IEの修正プログラムがXP向けに提供された理由は、「サポートが終わって間もないため」という特例措置という。

また、XPパソコンにインストールした様々なソフトウエア、接続されている周辺機器のドライバーなども最新の状態しておくことが当面の安全策である。

ただし、これは応急措置的な対策であり、そもそもネット接続ができないとなれば業務に支障も出る。サポートが終わって間もない今の時期に、PCのリプレイスやOSのアップグレードを検討することが急務だ。

隠れXPに注意!

新OSへの移行が済んだと安心している事務所も、社内にXPパソコンが残っていないか確認してみることを勧めたい。業務で使う機会の多いパソコンがXPかどうかは容易に気づくが、利用頻度が少ない予備PCなどが見逃されているケースもあるからだ。

こうした見過ごされているXPパソコンは『隠れXP 』とも呼ばれ、注意が促されている。

例えば、簡易的なファイルサーバーとしてXPパソコンを流用しているケースなどだ。ネットワークにつながった状態なので、放置したままでは攻撃リスクは高まるばかりだ。これを機会に、NAS(ネットワーク接続ハードディスク)の導入などを検討してみるとよいだろう。

いずれにせよ、隠れXPは早急にチェックしたいところだ。