今やパソコン無しに仕事も暮らしも成り立たない状況になっている。
そのパソコンはどんどん変わる。
しかし、個人にしても、会社や自治体などの法人にも、適切な更新=買い替えに追いつかない現状も続いている。
今回、7月13日で「Windows 2000」のサポートが終了した。
が、
「特に深刻なのは、「2000」が主に基幹システムのサーバーや業務用での利用を想定して作られ、利用者の大半が自治体や企業という点だ」(読売 7月20日)
とされている。
これだけ指摘されていて、使い続けて「システムトラブル」や「情報漏えい」が発生したら「許されない」事態は間違いなし。
今回13日でのサポート終了は、「Win XP」の「 SP2」も。
「Win XP」のOSでのパソコン利用者はまだ相当たくさんいるといわれる。たいていはSP3に切り替えているものと思っていたけど、そうでもないらしいく、その対策も分かりやすく解説した記事もある。
今、うちのパソコンは、私たち二人で、「XP 2台」「ビスタ 1台」 「Windows7 1台」を使っている。
以前「Win98」のサポートが終了したとき、インターネットから切り離してデータの倉庫などとして使おうかと残した。
これら、サポート切れパソコンについて、
「個人ユーザーは、昔使っていた古いパソコンに注意すべきだ。ウィンドウズ2000、Me、98といった古いバージョンのパソコンをファイル置き場としてだけ使っている場合もUSBメモリー経由などでウイルスに感染する可能性があるからだ。」 (読売 7月9日) とされている。
うちの場合、その心配もあったし、(面倒なので)片付けたパソコンを立ち上げることもなく、結局残しただけで、パソコンとしては使っておらず、「部品」をたまーに解体して転用することがあるくらい。
なお、タイミングを合わせたかのように、「未解決のWindowsの脆弱性を突く攻撃コード出現」(itmedia. 2010年07月20日) と流れた。
(もちろん、この問題はすべてのOSが対象)
人気ブログランキング→→←←ワン・クリック10点
6位あたり
●Windows 2000 Server をお使いの方へ
microsoft 公式ページ
Windows 2000 Server の延長サポートは2010 年 7 月 13 日をもって終了いたします。 ・・・・ |
●ウィンドウズ2000期限切れ…15万台ウイルス脅威 自治体、住民情報漏れる恐れ
(2010年7月20日 読売新聞)
13日(米国時間)に10年間のサポート期間が終了した米マイクロソフト社のOS「ウィンドウズ2000」が、自治体や国内企業のコンピューター15万台以上で使われていることが19日、分かった。
サポートが切れると、無防備な状態でサイバー攻撃にさらされることになるが、予算不足を理由に使い続ける自治体も多く、住民情報の漏えいの危険性もある。7年前には、サポート切れのOSが攻撃されて大量の被害が出ており、関係者は新たな「OS2010年問題」に神経をとがらせている。
「とうとうこの日を迎えてしまった」。首都圏の人口約3万人の市でシステムを担当する職員は焦りの表情を浮かべた。市役所には、職員用の端末が約400台あり、うち60台は「2000」のまま。新しいOSを載せた端末に買い替えるには1台15万円かかり、「早く交換したいが予算がつかない。IT関係は一番後回し」と嘆く。「サイバー攻撃にさらされないように、ただ祈るだけ」という。
東証1部上場の精密機器メーカーも、サーバー280台、事業用コンピューター2000台で「2000」を使うが、買い替えには約5000万円かかるため、断念。2年間だけ安全を保つ「延命ソフト」を約300万円で購入して当座をしのぐ。担当者は「景気が回復しないと対応できない」と、苦しい胸の内を明かす。
マイクロソフト日本法人は、こうした「2000」を搭載した端末が国内に今も15万台以上残ることを認める。期間終了後も使い続けることはできる。ただ、新たな手法の攻撃があっても基本的に放置され、知らない間にウイルスに感染して情報が抜き取られたり、第三者へのサイバー攻撃の中継点として悪用されたりする恐れが生じる。
「ウイルス対策ソフトを入れれば大丈夫と誤解している人もいるが、土台となるOSが穴だらけだと機能しない」と、ネットセキュリティー会社「フォティーンフォティ技術研究所」(東京都新宿区)の奥天(おくてん)陽司氏は警告する。奥天氏によると、2003年8月に世界中に広がったウイルス「ブラスター」は1000万台が感染したとされ、サポートが切れた「ウィンドウズNT」などで大きな被害が出たという。
今回、特に深刻なのは、「2000」が主に基幹システムのサーバーや業務用での利用を想定して作られ、利用者の大半が自治体や企業という点だ。自治体サーバーなどが脆弱(ぜいじゃく)だと、住民の情報を流出させたりする危険もある。独立行政法人・情報処理推進機構は「危険なので使わないでほしいが、企業や自治体の業務が滞るかもしれないので、なかなか言いにくい」と悩む。
元大手家電メーカー勤務で「消費者志向研究所」の池田康平代表は「サポートを打ち切る際に更新費用を安くするなど何らかの対応が必要。使う側も安易に人任せにせず、自分のOSに関心を持たなければいけない」と指摘する。マイクロソフト日本法人は「永遠のサポートは無理で10年は妥当な期間。ユーザーには様々な方法で更新するよう求めていきたい」としている。
OS
オペレーティング・システムの略で、パソコンのハードディスクなど心臓部を制御する基本ソフトウエア。文書作成や通信などのアプリケーションソフト(応用ソフト)はOS上で動く。利用者が多いウィンドウズは1度の攻撃で被害を広げやすく、サイバー攻撃の標的になりやすい。
●WIN「2000」「XP SP2」のサポート終了で危険拡大
(2010年7月9日 読売新聞)
利用者の多いウィンドウズXP SP2や2000のサポート期間が7月13日に終了する。今後問題が発生しても修復されないため、ウイルス感染などの危険性が高くなる。(テクニカルライター・三上洋)
XP SP2はSP3に切り替えを
IPAによる「サポート終了OSを家にたとえた場合のイメージ図」(コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について)
IPA・情報処理推進機構が「サポートが終了したOSは危険です!」という呼びかけを行っている。7月13日(米国時間)に基本ソフト(OS)のウィンドウズXP SP2(サービスパックツー)と、ウィンドウズ2000のサポートが終了するからだ。サポートが終了すると、ウィンドウズアップデートが行われなくなるため、新たに脆弱(ぜいじゃく)性(ソフトウエアの欠陥)が発見されてもパッチ(修正用プログラム)は配布されない。つまり問題点が修正されないため、ウイルスなどに感染する可能性が高くなる。
これについてIPAでは、右のようなイラストで危険性を警告する。サポートのあるOSなら、脆弱性(イラストでは壁の穴)を修復できるが、サポートがないと壁の穴がそのまま放置されてしまう。同時にウイルス対策ソフトのパターンファイル配布が終了するため、ウイルスに感染しても修復できなくなる。サポート終了OSは、ウイルスに感染しやすいうえに、修復の方法が事実上ないのだ。
サポートが終了する二つのOSのうち、ウィンドウズXP SP2の対策は簡単だ。7月12日までにウィンドウズアップデートでウィンドウズXP SP3に切り替えればサポート期間が2014年4月まで延びる。アップデートは無料で、切り替え時間は30分~1時間程度だ。
かなり厄介なウィンドウズ2000
トレンドマイクロによる「レガシーOSに関する調査」。
レガシーOSとは古いバージョンの基本ソフトのこと
一方、ウィンドウズ2000の場合、かなり厄介だ。OSそのもののサポートが終わるため、ウィンドウズ7などの最新OSに切り替える必要がある。2000は安定したOSだったため、企業や店頭の端末、ゲーム機のOSとして今も利用されている。そのため2000のサポートが終了すると大きなダメージを受ける
このサポート終了OSの業務利用について、セキュリティー対策ソフトメーカー大手のトレンドマイクロが「レガシーOSに関する調査」としてアンケートを実施した。それによると企業・団体の担当者412人のうち、55.3%がウィンドウズ2000サーバーを今も使っていると答えている。半分以上の企業・団体で、2000が現役なのだ。
しかも、そのうちの27.2%が「サポート終了後も2000を使い続ける」と答えている。ウイルス感染の危険性が高いことを承知で使い続けるわけだが、どうしてアップデートしないのだろうか? その理由としては「新しいOSに、システムやアプリケーションが対応していない」「費用がない」「新しいOSを評価する時間がない」などと答えている。
予算がないうえに時間がないという理由で、中小企業や店舗のシステムなどに多く残っているようだ。
トレンドマイクロによれば「社内のネットワークサーバーだけで使っているから大丈夫と思っている担当者が多い。社内のネットワークであっても、USBメモリーなどで感染する例があるので、このままでは危険」としている。実際にUSBメモリー経由で、社内のネットワークで500台ものパソコンがウイルスに感染した例もあるそうだ。
対応策はあるが「その場限り」
サポート終了後も2000を使用する企業が多いため、セキュリティー対策ソフトメーカーでは対応サービスを発表している。
ただし過信は禁物だ。これらの対応策はあくまでもその場限りであり、最大の問題である脆弱性は残ったままとなる。先ほどのIPAのイラストを例にとると、壁の穴をふさぐために外から板を打ち付けて「とりあえず穴はふさがりました」という状態にするだけといえる。根本的には穴が残ったままなので、非常に危険な状態だ。システムや端末をウィンドウズ2000からできるだけ更新しよう。
また個人ユーザーは、昔使っていた古いパソコンに注意すべきだ。ウィンドウズ2000、Me、98といった古いバージョンのパソコンをファイル置き場としてだけ使っている場合もUSBメモリー経由などでウイルスに感染する可能性があるからだ。
●ウィンドウズXPのサポート期間
朝日 2010年7月12日
「ウィンドウズXPサービスパック2」のサポートが、7月13日に終了します。けれど、XPが使えなくなるわけではありません。今回終了するのはサービスパック2のサポートで、XP自体のサポートではありません。ややこしいですね。ウィンドウズのサポートや、今回の「サービスパックサポートの終了」が何を意味するのか説明します。
■サービスパック2終了へ ネット経由で更新を
「ウィンドウズXPのサポートが終了」というと、「XPが使えなくなってしまうの?」と心配する人がいる一方で、「電話窓口で相談できなくなるのだろうけど、利用したことがないし、パソコンメーカーに聞けばいい」と考える人もいます。
確かにサポートが終了すれば電話サポートが受けられなくなりますが、XPが使えなくなるわけではありません。ただし、ひとつ大きな問題があります。「更新プログラム」の配布が終わってしまうのです。
ウィンドウズに問題が発見されると、マイクロソフト(MS)はそれを修正する「更新プログラム」を作製、インターネット経由で配布します。一番多いのが、コンピューターウイルスに感染するきっかけとなる「脆弱(ぜいじゃく)性」と呼ばれるセキュリティー上の欠陥を修正するものです。更新プログラムを自動ダウンロードし、インストールする「ウィンドウズ・アップデート」という仕組みもあります。
サポートが終了すると、新しい更新プログラムの作製と配布がストップします。それ以降に新しい脆弱性が発見されてもそのまま。つまりサポートが終了すると、パソコンはウイルスに感染する危険性が高くなります。このことが、ウィンドウズのサポート終了による最大の問題と言えるでしょう。
とはいえ、ウィンドウズXPがそうなる日はまだ先、2014年4月8日です。ただし、その日まできちんとサポートを受けるには、指定されたサービスパック(SP)が導入済みという条件がつきます。指定されたSPが導入されていないと、期日前でもサポート対象外になってしまうのです。
サービスパックとは、更新プログラムをある時点でまとめ、ウィンドウズの機能変更や新機能の追加なども含めて行う「大規模な更新プログラム」。提供順にSP1、SP2と番号がつき、XPでは現在SP3までが提供されています(64ビット版XPはSP2まで)。
自分のパソコンのXPにどこまでのSPが適用されているかは、「システムのプロパティ」で確認できます。「スタート」メニューを開き「マイコンピュータ」を右クリックして表示されるメニューの「プロパティ」を選ぶと表示されます。「コントロールパネル」の「システム」からも呼び出せます。自動更新が有効なら、通常はSP3が導入済みのはずです。
7月13日の「サービスパック2サポート終了」というのは、SP2が導入されたXPが新たにサポート対象外となることを意味しています。つまり、より新しいSP3が導入されたXPは、引き続きサポート対象で、更新プログラムも提供されるのです。まだSP2以前だったら、ウィンドウズ・アップデートを使ってインストールしておきましょう。ウィンドウズ・ビスタも、SP1が導入されていないものは4月にサポートが終了しています。
MSの製品サポート期限には、製品発売から最短5年間の「メインストリーム」と、それに続く5年間の「延長」があります。手厚いサポートがあるのは前者の期限内に限られ、延長サポート期間は必要最小限の更新プログラムが提供されるにすぎません。
延長サポートが提供されるのは原則的に企業向けの製品のみなのですが、XPは利用者が多く、続くビスタの登場後も搭載パソコンが発売され続けたことから、特例として全体に延長サポートが提供されることになりました。そのため、ビスタの個人向けエディションは、XPより2年も早くサポートが終了する逆転現象が起きています。(ライター 斎藤幾郎)
●Windows 2000サポート終了迫る
トレンドマイクロが脆弱性対策の重要性を解説
internet.watch.
トレンドマイクロは2月25日、エンドユーザー向けのセミナー「カウントダウン開始!~セキュリティ専門家が語る、サポート終了OSに潜む危険性とセキュリティ対策~」を都内で開催した。OSの脆弱性を狙った悪質ウイルスの台頭を改めて指摘するとともに、7月にはセキュリティ対策パッチの新規公開も含めたサポート全般が終了するWindows 2000についての注意点を解説した。
● OS脆弱性を狙う、Web経由のウイルス被害が急増
・・・・
● 8000台中500台がDOWNADに感染した事例では、駆除完了までに1週間
・・・・
●消費期限切れOSの利用状況を調査
7月13日でWindows 2000サポート終了!その問題とは?
2010年07月12日 09時00分更新
● 横川典子/トレンドマイクロ株式会社 マーケティング本部 エンタープライズマーケティング部 担当課長代理
・・・・
2010年、レガシーOSの真実
トレンドマイクロ調査に見るユーザー像とは
Windows 2000が注目を集める中、トレンドマイクロは2010年3月に、公共団体を含む企業(以下、企業)に所属する情報システム担当者412人を対象としたWebアンケートを行なった。調査目的は、企業におけるレガシーOS利用の実態の把握だ。この調査の結果から、気になる「隣の企業」の実情が見えてくる。
Windows 2000 - 実際の利用状況は?
まず問題となるのは、レガシーOS全般の利用状況だ。ずばり、利用状況を聞いてみた(図1)。すると、何と42.2%が、サポート切れOSであるレガシーOSの利用を行なっている。
図1 企業におけるサポート切れOSの利用状況
また、問題のWindows 2000 (今回はサーバーのみ)の利用状況に関しては、半数を超える55.3%が利用をしていることがわかっている(図2)。
図2 Windows 2000 Serverの利用状況
この調査は2010年3月に行なわれたものであり、この時点でWindows 2000は「レガシーOS」ではない。立派な現役OSだ。しかし、移行の期間を考えていただきたい。皆さんの企業でシステム入れ替えを行なう際、どれだけの時間が必要になるだろう?すでに着手していた企業はともかく、何の計画もない企業には、次の調査結果に着目してほしい。
レガシーOSの抱える「危険」
OSのサポートが切れていても、障害が発生しなければ問題はないかもしれない。これは、賞味期限れの食べ物を食べたからといって、必ずお腹を壊すとは限らないようなものだ。しかし、食中毒を起こして、痛い目にあってからでは遅いのだ。
実際、「賞味期限切れ」のレガシーOS利用企業と、現役OS利用企業に、ウイルス感染経験の有無を聞いてみた(図3)。結果、レガシーOSを使っている場合、現役OS利用に比べ、ウイルス感染経験が2倍にも上ることがわかった。賞味期限切れは意外と危険性が高いことがご理解いただけただろうか?
隣のお家事情―なかなか移行できない理由
だれだって、賞味期限切れを好んで食べるわけではない。それなりの理由があるから食べざるを得ないのだ。ではその理由とはなんだろう?レガシーOSから移行できない理由を聞いてみた(図4)。
図4 レガシーOSから移行できない理由
「コスト」と「移行」が2大問題であることがわかる。新しいシステム構築には当然莫大な資金がかかり、その中には検証などに必要となる人件費も含まれるだろう。また、せっかく時間と予算を費やして開発したシステムソフトウェアを新しいOSに移行するのは並たいていのことではない(もっともOS互換性がある場合は別だが)。
そして、この問題も当然のように、コスト問題へとつながっている。当然、最終的には賞味期限内のOSに移行することが必須だ。だが、迅速にそれが行なえない事情がある限り、何が問題で何をすべきか、きちんと把握しておく必要はあるだろう。
なぜ「食中毒」を起こすのか?-レガシーOSの基本的な問題点
では、なぜ、レガシーOSでは、ウイルス感染などのセキュリティ的障害を起こす原因となりうるのであろう?もっとも大きな要因は、「セキュリティパッチ(修正パッチ)が提供されなくなること」だ。通常、OSだろうとアプリケーションだろうと、脆弱性が見つかれば、ベンダーからセキュリティパッチが発行される。それこそ、毎日のようにだ。
しかし、サポート切れということは、そのパッチがそもそも発行されなくなることを意味する。つまり、見つかった「弱点」である脆弱性を晒したまま日々生活しなければならない状態に置かれるのだ。人体でいうと免疫が低下した状態に強制的に置かれるようなものだ。この状況で、何らかの病原菌が入ってくれば、それは即、命にかかわる問題になりかねない。
大げさに聞こえるかもしれないが、ミッションクリティカルなサーバーや基幹システムを動かしているOSの話として捉えてほしい。それは即、業務停止を意味するのではないか?実際、こういった「弱点」を晒してしまったことで、企業活動全体に影響を及ぼしてしまったケースがある。
●未解決のWindowsの脆弱性を突く攻撃コード出現、SANSが警戒レベルを引き上げ
itmedia. 2010年07月20日 08時25分 更新
Windowsのショートカット処理の脆弱性を悪用した攻撃コードやワームが出現し、攻撃の拡大が予想されている。
MicrosoftのWindowsに未解決の脆弱性が見つかった問題で、米セキュリティ機関のSANS Internet Storm Centerは7月19日、攻撃の拡大を見越して警戒レベルを1段階引き上げ「Yellow」とした。この脆弱性を悪用した攻撃コードやワームの出現も報告されている。
Microsoftのアドバイザリーによると、脆弱性はWindows Shellでショートカットを処理する際の問題に起因する。細工を施したショートカットのアイコンをユーザーがクリックすると、悪質なコードを実行される恐れがある。
MicrosoftのMalware Protection Centerブログによれば、USB経由で感染するワームの「Stuxnet」に、この脆弱性を悪用して増殖する機能を組み込んだ亜種が出現した。具体的には、細工を施したショートカットファイル(.lnk)をUSBメモリに仕込んで、OSが.lnkファイルを読み込むと、マルウェアが自動的に実行されてしまう仕掛けになっているという。ほかのマルウェアもこの手口を真似てくることが予想されるとしている。
セキュリティ企業各社の情報によれば、この脆弱性を突いた攻撃は、現時点では公共インフラなどの管理に利用されるSCADA(Supervisory Control and Data Acquisition)など特定のシステムを標的にした攻撃にとどまっている。だが、SANSは悪用コードが公開されたことから攻撃が拡大するのは時間の問題だと分析する。当初の攻撃ではUSBメモリ経由で悪質プログラムに感染させる手口が使われていたが、新手の悪用コードでは、SMBファイル共有経由で悪質プログラムを起動させることも可能になったという。
脆弱性は、Microsoftがサポートを打ち切ったWindows 2000とWindows XP SP2も含め、Windowsの全バージョンに影響が及ぶとされる。Microsoftは「調査を完了した時点で顧客を守るための措置を取る」と説明しているが、Windows 2000とWindows XP SP2向けのパッチが公開される見通しはない。
Microsoftは攻撃リスクを低減させるための一時的な措置として、ショートカットアイコンの表示を無効にするなどの方法を紹介している。しかしSANSでは、Microsoftがパッチを公開しない限り、この脆弱性は容易には修正できないと指摘している。 |
| Trackback ( )
|
|
|
|
|