パッチ解析で高まるWindows 2000の危険性、「継続利用はリスク」と専門家

サポートが終了したWindows 2000の危険性が今後高まる恐れがあるとセキュリティ研究者が指摘した。早急な対応策がユーザーに求められている。

» 2010年08月12日 08時00分 公開
[國谷武史,ITmedia]

 米Microsoftが7月にサポートを終了したWindows 2000の危険性が今後高まる恐れが明らかになった。セキュリティ企業のフォティーンフォティ技術研究所とサイバーディフェンス研究所がこれを指摘し、ユーザーに早急な対応が求められると警鐘を鳴らしている。

 サポートの終了によって、Windows 2000では脆弱性が発見されても、脆弱性を修正するパッチが一切提供されない。フォティーンフォティ技術研究所の鵜飼裕司氏は、「Windows 2000の危険性はパッチがないことに加え、攻撃がさらに増える可能性がある」と話す。同社などが「パッチ差分解析」という作業をした結果、Windows 2000にはサポートが継続しているWindows XP SP3やWindows Server 2003と類似したコードが多数存在することが判明したという。

パッチ差分解析の概要

 パッチ差分解析は、ベンダーがリリースしたパッチが具体的にどのような脆弱性や不具合を解消したのかを調べる方法で、セキュリティ企業では日常的に行われている作業だ。

 鵜飼氏によると、最近はサイバー攻撃者も攻撃手法の開発にパッチ差分解析を利用しつつある。Microsoftが公開したWindows XPやWindows Server 2003のパッチを攻撃者が分析することで、Windows 2000に共通する脆弱性を容易に見つけることができてしまうとしている。

 サイバーディフェンス研究所 上席分析官の福森大喜氏は、2008年に世界的に猛威を振るった「Conficker/Downad」ワームが悪用する脆弱性(MS08-067)や、7月に発覚したWindowsのショートカットファイルの処理に起因する脆弱性(MS10-046)などのケースから、この危険性が次のように指摘している。

 MS08-067の脆弱性は、Windowsの「netapi32.dll」に存在するもので、Windows 2000とWindows XPのnetapi32.dllのコードは非常に類似しており、いずれもバッファオーバーフローを引き起こす可能性があった。またMS10-046の脆弱性では、「shell32.dll」の仕様が原因となった。サポートのあるOS向けにはこの脆弱性を解決するパッチが8月3日にリリースされた。しかしWindows 2000ではパッチが提供されず、この脆弱性が永久的に残されたままになる。

福森氏が紹介するWindows 2000 SP4とWindows XP SP3の類似点の1つ

 福森氏は、「WindowsではXP SP2からセキュリティ機能が大幅に強化され、攻撃のリスクをある程度回避できる。だがWindows 2000にはこうした機能がない」と指摘する。

 Windows 2000は、今なお企業の業務コンピュータなどで多数使用されているもようだ。トレンドマイクロが企業の情報システム担当者を対象に実施したアンケート調査によれば、55.3%がWindows 2000 Serverを所有していると答えた。また、継続利用するとの回答は27.2%に上った。

 継続利用する理由は、「システムやアプリケーションが未対応」や「PCやサーバの購入コスト」を挙げる回答が4割以上を占めた。「サポートのあるOSの移行に1000万円以上かかり、経営層の承認が得られなかった」というユーザーの声も聞かれる。

 こうした状況に対してマイクロソフトは、「サポートを続けるには限界があり、新しい環境に移行していただきたい」(チーフセキュリティアドバイザーの高橋正和氏)という。

 仮にWindows 2000のコンピュータがマルウェアに感染して、顧客情報が盗み出されるなどの被害に遭った場合、企業では顧客への対応や事業への影響、風評被害などによって億単位の損害を被る恐れがある。脆弱性を抱えたシステムを使い続けるか、システムを改修するかは、想定される損害の規模と改修にかかるコストとのバランスで考えることになる。

マイクロソフトが公開している情報漏えいの損害シミュレーション。日本ネットワーク協会の算出条件を基に算出する。結果の数値は対応などのコストのみで、実際にはより規模が大きくなる場合が多いという

 鵜飼氏は、Windows 2000でのセキュリティ対策について、Windows 2000を継続使用するリスクをユーザーが許容できるものであるか正確に分析してほしいとアドバイスする。継続利用を決めた場合の対策として、ファイアウォールやIPSなどのネットワークセキュリティ対策の活用や、期限付きで継続対応を表明するサードパーティーのセキュリティ製品の活用もあるという。

 だが、これらの対策はWindows 2000を延命させるための対処療法的なものでしかない。パッチが提供されているOSに比べて、Windows 2000のセキュリティ上のリスクは極めて高いという。鵜飼氏は、「可能であれば、サポートのあるOSに速やかに移行するのが望ましい」と話している。

関連キーワード

Windows 2000 | パッチ | 脆弱性 | サポート終了


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ