サポートが終了し、新たなセキュリティパッチの提供が停止したWindows XP。「仮想化すれば安全」という説があるが、それは本当か?
対象ソフトウェア:Windows XP
Windows XPは2014年4月でサポートが終了したため、原則として新たな脆弱性が発見されてもセキュリティパッチが提供されず、新たな攻撃を防御できない状態に陥っている。しかし予算不足や互換性問題といった事情から、いまだに相当数のWindows XP搭載マシンが現役として稼働しているという。こうした中、Windows XPを「延命」するのに仮想化技術を利用した方法が提案されることがある。では、仮想化でWindows XPは安全に運用できるのだろうか?
仮想化を利用すると安全性が高まるという仮説は、「Windows XPを仮想化すれば、マルウェアの感染経路から隔離できる」ことを想定している。Windows XPを仮想マシン上で稼働させれば、マルウェアとの接触を防ぐことができる、という主張だ。
しかし、ただ単にWindows XPを仮想マシンに移しただけでは、実は安全性は向上しない。マルウェアの主な感染経路であるネットワーク接続(特にインターネットとの接続)は、明示的に設定しない限り、仮想マシンでも物理マシンと同様に利用できるからだ。
さらに、たとえホストマシン(仮想マシンを実行している物理マシン)に一般的なクライアントPC用ウイルス対策ソフトウェアをインストールして保護していても、それによって仮想マシンは保護されないのが普通だ。
ウイルスやマルウェアへの感染は、不正なプログラムのダウンロードや実行だけでなく、Webブラウザーで不正なサイトへアクセスした場合などでも発生する。従って、より完全に対策するには、仮想マシンでも物理マシンと同様に、少なくともネットワーク接続の制限やウイルス対策ソフトウェアの導入といった対策が必要ということだ。
では、仮想マシンでネットワーク接続を全面的に無効化し、ウイルス対策ソフトウェアもインストールし、さらにマルウェア感染の危険性があるUSBメモリの利用も禁止したとしよう。これで完全に安全といえるだろうか?
それでも、仮想マシンで何らかの業務を遂行する限り、仮想マシンとその他のマシンの間でどうしてもファイルのやりとりが必要になってしまう。ネットワーク接続やUSBメモリが使えない場合でも、クリップボード経由で仮想マシンとホストマシンの間のファイル交換はできる。ここでもし、ホストマシンから渡すファイルにマルウェアが混入したら、Windows XP上のアプリケーションでそのファイルを開いたときに感染する可能性は否定できない。
「ウイルス対策ソフトウェアが検知・保護してくれるはずだ」という意見もあるだろう。しかしウイルス対策ソフトウェアによるウイルス検知率は100%ではない(特に標的型攻撃だと検知率は下がる)。ウイルス対策ソフトウェアによる保護をすり抜けてWindows XPの仮想マシンにマルウェアが到達する危険性は、0%とはいえない。
そしてWindows XPの場合、これから発覚する脆弱性が修正されることはなく、そのままセキュリティ上の「穴」として残り続ける。そのため、サポート対象のOSと比べて、到達したマルウェアが感染・発動する危険性は高まる一方だろう。
セキュリティリスクは常に最悪の事態を考えるべきだとしたら、仮想化しても安全とはいえない。物理マシンの時と同じような使い方をしている限り、仮想化しても危険性は同じだ。同じようにインターネットやイントラネットに接続すれば、同じように感染するからだ。このような運用は避けられない移行期の一時避難的措置としてはあり得るかもしれないが、安全性を担保できないWindows XPを一刻も早く排除するという結論に変わりはない。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.