Security&Trust トレンド解説
2010年7月13日まであと……どうする? Windows 2000 Serverの「Xデイ」対策
@IT編集部
宮田健
2010/4/30
2010年7月13日(米国時間)にWindows 2000 Serverの延長サポートが終了する。ITプロフェッショナルにとってはこの現状をどのようにとらえているだろうか。トレンドマイクロが2010年3月時点で調査したアンケートを基に、いまの時点でできる対策を考えてみよう。
驚きの結果? それとも当然の結果?
トレンドマイクロが2010年3月、企業、団体のシステム担当者412名を対象としたアンケート結果を取り上げてみよう。
| 【関連】 トレンドマイクロニュースリリース サポート切れOS使用企業のウイルス感染経験は未使用の2倍以上 http://jp.trendmicro.com/jp/about/news/pr/article/20100421041302.html |
●Windows 2000 Serverはいまも「現役」
Windows 2000 Serverのサポート終了時に、現在の運用をどのように切り替えるかという問いに対する回答は以下の通りだ。仮想化で運用継続する例も含め、そのまま利用し続けるというユーザーもかなり存在することが分かる。
 |
| グラフ1 サポート終了後に現在の運用をどうするか(有効回答数228・単一回答) トレンドマイクロ「レガシーOSに関するアンケート調査」より抜粋 |
 |
 |
|
| グラフ2 Windows NTなどOSベンダのサポートが切れたものがあるか?(有効回答数412・単一回答) トレンドマイクロ「レガシーOSに関するアンケート調査」より抜粋 |
グラフ3 いまWindows 2000 Serverがあるか?(有効回答数412・単一回答) トレンドマイクロ「レガシーOSに関するアンケート調査」より抜粋 |
現在、サポートが切れたOS、具体的にはWindows NTなどを1台でも運用している企業は「42.2%」(グラフ2)、そしてまもなくサポートが切れるOS、具体的にはWindows 2000 Serverを運用中の企業は「55.3%」(グラフ3)だった。グラフ1の回答から移行を行うというユーザーがある程度存在しているものの、グラフ2、3の結果より、Windows 2000 Serverがサポート期間を終了しても、ある一定数のマシンはそのまま稼働し続けるという予測が立てられる。
●Windows 2000 Serverを移行する理由、移行しない理由
 |
| グラフ4 Windows 2000 ServerからほかのOSに移行する理由(有効回答数93・複数回答) トレンドマイクロ「レガシーOSに関するアンケート調査」より抜粋 |
 |
| グラフ5 Windows 2000 Serverを使用し続ける理由(有効回答数190・複数回答) トレンドマイクロ「レガシーOSに関するアンケート調査」より抜粋 |
移行する理由、移行しない理由についても見ていこう。Windows 2000 Serverのサポート終了後はWindows 2003や2008、LinuxなどのOSに移行する理由として一番多かったのは「脆弱性が見つかっても修正パッチが公開されない」(83.9%)というものだった。
移行しない理由については、「新しいOSにシステムやアプリケーションが対応していない」(46.8%)、「新しいOSにシステムやアプリケーションは対応しているが、サーバやOSを購入する費用がない」(40.5%)という結果が出ている。新しいOSを評価する時間がないと答えたのは28.4%で、裏を返すとバージョンアップのための評価は進んでいると見られる。
 |
| グラフ6 Windows 2000 Serverを使用し続ける上で、セキュリティ上の不安は?(有効回答数190・複数回答) トレンドマイクロ「レガシーOSに関するアンケート調査」より抜粋 |
サポート終了後もそのままOSを使い続けるユーザーが最も不安に思っているのは、やはり「脆弱性が見つかっても修正パッチが公開されない」(76.3%)ことだ。これは移行する理由の1位であることを考えると興味深い。
サポート期間が切れることは分かっている、それがいかに危険なのかも理解している。しかし、使い続ける以外の手段がない――そんなジレンマが現場にはあるのだ。
古いOSへの攻撃パターンを知り、対策を考える
ここで、社内のサーバはどのような方法で攻撃されていくかを考えてみよう。悪意ある攻撃者が外部から直接脆弱性を攻撃する手法は、現在ではほとんどなくなったと考えてよい。現在はユーザーが特定のURLへアクセスし、不正なプログラムを実行させるような、Webからの攻撃が主流だ。不正なプログラムがほかのPCへ感染させる仕組みを持っていた場合、社内にあるたった1台の感染PCが、社内のPCへと広がってしまう。これは、Confickerなどを初めとするUSBメモリを介して感染するワームも同様だ。
ここでサポート期間の切れたOSの利用シーンを考えてみよう。おそらく、社内のPCのほとんどはサポート期間内のOSを利用しており、ごく一部のセグメントで、ごく少数のサポート期間切れOSが利用されていることがほとんどだと思われる。セキュリティ管理者がまず行わなくてはならないのは、サポート切れOSの利用目的、利用セグメントの現状把握だろう。
これらの稼働状況から、いくつか対策を考えてみよう。なお、これらの対策はあくまで移行までの「時間稼ぎ」であり、セキュリティ対策が行える環境に移行することが最も正しい対策であることが前提だ。
●サービスパック/セキュリティパッチ適用に漏れがないかを確認
いまだにSQL SlammarやBlasterの攻撃パケットが止まらないことを考えると、最低でも現在適用できるセキュリティパッチは取得・適用しておくべきだろう。クライアントPC/サーバのパッチ適用状況を把握するために、脆弱性スキャナを利用するのも1つの手だ。
| 【関連記事】
脆弱性スキャナで実現する恒常的なセキュリティ管理 http://www.atmarkit.co.jp/fsecurity/special/108secscan/secscan01.html セキュリティ対策の「ある視点」(12) プレイバックPart.I:ウイルスのかたち、脅威のかたち http://www.atmarkit.co.jp/fsecurity/rensai/view12/view04.html |
●ネットワークエッジ対策を強化する
これはサポート切れOSだけでなく、現状稼働しているシステムにも有効な対策だ。Webからの攻撃が主となっていることから、ネットワークエッジで「不正なURL」「不正なファイル」の通過を防ぐという仕組みで、外部からの攻撃を防ぐ。
この対策では、ファイアウォール、IPS/IDS、UTMなどの製品が相当するだろう。また、不正なURLをレピュテーションにより判定するようなWebフィルタリング製品/ウイルス対策ソフトウェアをアプライアンスとして導入することで、ワームの侵入をネットワーク全体で防ぐことができる。
| 【関連記事】 5分で絶対に分かるファイアウォール http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html 5分で絶対に分かるIDS http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html |
また、バーチャルパッチの仕組みを利用することも対策の1つだ。マイクロソフトが提供するForefront Threat Management Gatewayは、Windows 2000 Serverとインターネットとの間に置くことにより、攻撃パケットを遮断するセキュリティWebゲートウェイとして機能する。
| 【関連リンク】 Forefront Threat Management Gateway 2010 http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx Microsoft TechNetブログ[Windows Server 使い倒し塾] Windows 2000からの移行(その7) Forefront TMG によるリスク低減策 http://blogs.technet.com/windowsserverjp/archive/2010/02/19/3313911.aspx |
●部門セグメント間でのエッジ対策を導入する
サポート切れOSを利用している部門は、特定のセグメントに集中しているのではないかと考えられる。そのため、その部門のネットワークセグメントに感染が及ばないよう、ファイアウォールやIPSを部門内に配置することも対策の1つだ。
●利用アプリケーション/利用デバイスを制限する
Webからの攻撃を防ぐため、まずはこのようなOSでのインターネット接続、特にWebブラウザやメールクライアントの利用を制限することも有効だろう。Windows 2000ではInternet Explorer 6 SP1までしか使えないので、IEを利用することは厳禁だ。
この制限はユーザーの良心に任せるのではなく、アプリケーションの起動制限や、USBメモリの使用を防ぐような仕組みを入れることが望ましい。
●Windows 2000の保護に特化した製品の導入を検討する
一部のセキュリティベンダでは、Windows 2000に対応/特化したセキュリティ対策製品を販売している。このような製品を導入することも重要だ。ただし、ほとんどのベンダは期間を限定した提供になっているので、あくまで新OS移行までのつなぎであることを認識すべきだろう。
| 【関連記事】 7月に延長サポート切れのWindows 2000を保護、FFR http://www.atmarkit.co.jp/news/201001/12/ffr.html |
●再度セキュリティポリシーを見直す
最も重要なことは、現状稼働しているOSの把握やその稼働目的、ユーザー管理状況やパスワード運用など、システム全体のポリシーをこの機会に見直すことだ。話題となったガンブラーなども、セキュリティ対策パッチや機器の導入である程度の対策は可能だったが、最終的にはログの把握やパスワード管理など、人の運用による対策が重要だ。そのため、サポート切れOSの対策もアップグレードや機器の導入だけでなく、システム全体を通した対策に漏れがないかを確認することが望ましい。
| 【関連記事】 川口洋のセキュリティ・プライベート・アイズ(23) Gumblarがあぶり出す 「空虚なセキュリティ対策」 http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/023.html セキュリティ、そろそろ本音で語らないか(5) 中堅企業には中堅企業ならではのセキュリティ対策を http://www.atmarkit.co.jp/fsecurity/rensai/talk05/talk01.html |
早急な現状把握、そしてリスクの把握を
現在、悪意あるものは金銭や重要データなど、明確な目的を持って攻撃を行っている。そのため、感染されたことをユーザーに知られないよう、ひっそりと感染を行っている。悪意あるものが「旧OSへの的確な攻撃」を行うために、最新OSへの脆弱性対応パッチをリバースエンジニアリングし、直後に旧OSへの攻撃コードを作成、拡散させることも想定されている。
先の調査結果では、サポート切れOSを使用しているユーザーの過半数が「ウイルス、ワームの感染経験がある」と回答しているが、今後は感染に気が付かないまま、システムを稼働させてしまうリスクが、より大きくなるのだ。
このリスクを低減させるには、サポート中のOSに切り替えるか、そのリスクを許容するための対策を打つことが必要である。もしいま、サポート切れOSの継続した稼働を考えているのならば、現状を把握し、もういちどリスクの棚卸しを行ってほしい。
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
