東京商工会がWindows XPからの移行支援セミナーを開催、リスクや注意点を解説

　11月28日、東京商工会議所ビルで、「知らないでは済まされない！Windows XPのサポート終了問題『Windows XP移行対策セミナー』」が開催された。サポート終了によって、セキュリティアップデートの提供を中止され、OSを攻撃するウイルス等に対応できなくなるリスクが高まるが、具体的にどんなリスクがあるのか、そういったリスクを回避するためには何をしたら良いか？　新しいOSに移行する際の注意点は何か？　といった具体的な内容を紹介する内容となった。

　本稿では、そのセミナーの概要を紹介する。

XPだけでなく利用ソフトが対応しなくなることもリスク

独立行政法人 情報処理推進機構（IPA） 技術本部 セキュリティセンターの研究員 大森雅司氏

　今回のセミナーは、パソコンを利用する中小企業を対象に、セキュリティの面から見た移行の必要性、ITシステムから見た移行を行う際のポイント、さらに業務改革につながる新しいシステム活用をそれぞれの専門家がアドバイス。全方位でWindows XP移行に伴う疑問に答える内容となっている。

　注目度が高いテーマだけあって150人弱が入る会場は満員となり、参加者は熱心にメモを取って移行にまつわるアドバイスに聞き入った。

　セキュリティに関しては、独立行政法人 情報処理推進機構（IPA） 技術本部 セキュリティセンターの研究員 大森雅司氏が、「近年のセキュリティ脅威とWindows XPサポート終了の影響」というテーマで講演を行った。

　大森氏はWindows XPのサポートが終了することによるセキュリティリスクについて、「ウイルスの感染リスクが飛躍的に高まる」ことを指摘。ウイルス感染は古くからあるセキュリティトラブルだが、近年ではその感染手段が多様化し事件の深刻度が増していることを、2013年に発生した3大セキュリティ事件・事故として紹介した。

今年発生した3大セキュリティ事件・事故

　2013年に発生した3大セキュリティ事件・事故とは、「Webサイトの改ざん」、「不正ログイン」、「不正送金」の3つ。一見すると無関係に思えるものだが、「実は非常に密接な関係を持っている」という。代表的な手口としては、不正ログインすることを目的にWebサイトの改ざんが行われ、不正ログイン、不正送金が実行されるという流れとなっている。

　Webサイトの改ざん件数は、2012年上半期は月間100件程度だったが、その後急増し、2013年6月・7月は月間1000件を超える件数にまで増加している。改ざん内容も、「水飲み場攻撃といわれる待ち伏せ型のもので、大量のウイルス感染が可能になった。正規サイトを、一見しただけではわからないよう改ざんしているため、ユーザー側に疑われにくく、サイトを閲覧しただけでウイルス感染してしまうものや、リンクで誘導された先にウイルスが用意されるなどいろいろなパターンがある」と多様化している。

　不正ログインについても、ウイルスで盗み出した利用者の個人情報やIDを使って、正規のID・パスワードでログインするため、「明らかに不正ログインではあるものの、利用者になりすましているため管理者にも不正ログインであることが気づかれにくい」といった、ユーザー側で対処が必要となるケースもある。また、不正ログインはパスワードが使い回しを行うユーザーが多いために、被害が拡大する傾向にあるという。

　2012年辺りから、それまでは日本では少なかったオンラインバンキングを狙った攻撃が広がり、自分の預金が知らない間に他人の口座に送られるといった結果となる、オンラインバンキングを狙った攻撃も増加している。

　こうした攻撃に対処するためには、利用者側が対策を採ることが必須で、「十分な長さと強度をもつパスワードを使用し、ワンタイムパスワードツールといったものをなるべき利用し、パスワードを取られない、取られてもなりすませない対策が必要。また、信用度の低いサイトにはアクセスせず、不用意なクリックは行わず、ウイルス対策ソフトの導入は必須となるが、Windows XPサポート終了後にはこの対策が十分に行えなくなる」と大森氏は訴えた。

セキュリティ脅威の変遷

　さらに、Windows XPが発売された2001年は、「ブロードバンド元年といわれていたころで、現在とはITを取り巻く環境も、セキュリティ問題も今とはまったく異なる。Windows XPはその時代に誕生したもので、その後に登場したWindowsに比べれば、セキュリティ面で弱いことは否めない」と説明した。

　Windows XPは2014年4月8日にサポートが終了するが、「攻撃者は提供されたセキュリティパッチを解析し、攻撃コードを生成する傾向がある。最新バージョンが持つ脆弱性は旧バージョンも持っていることが多い。最新バージョンのパッチを解析して生成された攻撃コードで、使い続けられているWindows XPが攻撃される可能性が高い」と、最新マイクロソフト製品のパッチが、サポートが終了した旧製品の攻撃のきっかけになることが指摘された。

　Windows XPのサポート終了とともに、Microsoft Office 2003、Internet Explorer（IE） 8のサポートも終了となるが、「それだけでなく、確認はしていないがJRE（Java Runtime Environment）、アドビ製品など、サードパーティソフトウェアが順次サポート終了となることが予測される」と、サポート終了の影響は大きい。

Windows XPサポート終了によるセキュリティ対策パッチ未配信

サードパーティソフトも順次サポート終了

　対応策としては、「私としてはWindows XPの利用をやめることを断然オススメする」としたものの、2012年11月時点では国内の法人内PCの40.3％がXPを利用。2013年5月では34％と減少してはいるものの、Windows XPパソコンが耐用年数に達していないこと、OSの変更でシステムに支障が生じることなど移行が難しいケースも存在する。

　そこで大森氏は、「セキュリティリスクを低減するのは新しいOSへの移行だが、それができない場合はインターネットに接続しないクローズな環境で利用を続ける、パソコンで動作するソフトを最新の状態にする、攻撃緩和ツールを利用して攻撃を遮断するといった対応をするべき。ただし、これはあくまでも一時的な回避策で、新OSへの移行を検討することが重要」と話した。

　パソコンで動作するソフトとしては、IE8のサポート終了後は、当面はサポートが続く、Firefoxのようなブラウザなどを選択することも一つの手段となる。

Windows XP利用状況

Windows XPを利用し続ける場合の対応策

　攻撃緩和ツールは、マイクロソフトが無償で提供するEMETや、有償で提供されているものなどがある。しかし、「セキュリティパッチと比べ、完全に防御できないものであることは認識すべき」と完全な対策ではないことが強調された。

攻撃緩和ツールを使った対応

攻撃緩和ツールを使った実証実験