HOMEIPAについて新着情報プレス発表 サイバー攻撃の被害回避のため、サポートが終了したXP等Microsoft 製品の移行を

本文を印刷する

IPAについて

プレス発表 サイバー攻撃の被害回避のため、サポートが終了したXP等Microsoft 製品の移行を

~4月26日Internet Explorerの脆弱性深刻度は最も高い「レベルⅢ」上限値 CVSS10.0(*1)

2014年5月14日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、2014年4月9日にサポートが終了した、Microsoft製品(Windows XP、Office 2003、Internet Explorer 6)の一部に4月26日、ゼロデイ攻撃が観測されたことから、継続利用している組織や個人に対し、深刻な被害が発生する前に速やかな移行を促すため、改めて注意喚起を発することとしました。


サポート製品へ速やかな移行を
 2014年4月9日、広く利用されてきたMicrosoft社製の3製品(Windows XP、Office 2003、Internet Explorer 6)のサポートが終了しました。また、本日5月14日はサポート終了後、初めて定期セキュリティ更新プログラムが提供されます。通常はサポート終了製品への更新プログラムは提供されないことから、速やかな移行が求められます。総務省の発表によれば4月1日時点で地方公共団体が利用しているパソコンの13%(約26万5千台)にWindows XPが搭載されているとあります(*2)。同様に、利用を継続している一般企業も相当数存在すると考えられます。
 4月26日(米国時間)には Internet Explorer 6も影響を受ける脆弱性に対するゼロデイ攻撃(*3)が観測された(*4)との発表がありました。その後、この脆弱性の深刻度は最も危険とされるレベルⅢ(CVSS基本値7.0~10.0)で上限値のCVSS10.0と判断されました。
 また、サポート終了月までの半年間(2013年11月から2014年4月)に公表されたMicrosoft製品の脆弱性は49件で、そのうちゼロデイ攻撃は8件(*5)あり、約16%を占めました。
 ゼロデイ攻撃はセキュリティ更新プログラムが提供されるよりも早く攻撃が仕掛けられるため、ソフトウェアの利用者にとって脅威といえます。通常ではサポートが終了した製品には更新プログラムの提供はなく(*6)使用を続ける限り、言わば “常にゼロデイ攻撃の脅威にさらされている” ことになります。
 そのため、前述の3製品を継続利用している組織や個人は、サポートが継続している後継製品への速やかな移行が必要です。

サポート終了直前に発見された3製品の脆弱性とその深刻度
 図1にサポート終了月までの半年間(2013年11月から2014年4月)に公表された脆弱性の深刻度別割合を示します。3製品合わせて49件(Windows XP :17件、Office 2003:10件、IE6:22件)の脆弱性が公表され、そのうちの38件(78%)が最も深刻度の高いレベルⅢでした。このことから、今後、深刻な脆弱性が発見されると、攻撃者に悪用され深刻な事態に陥る危険性があります。


図1:サポート終了直前の6ヶ月間に公表された脆弱性の深刻度別割合

サポート終了製品は新たに脆弱性が発見されても、セキュリティ更新プログラムが提供されない
 通常、サポート終了製品には、新たに脆弱性が発見されてもセキュリティ更新プログラムが提供されません。新たに発見された脆弱性は対策方法がないまま危険な状態で放置され、しかもその件数は蓄積される一方となります。サポート終了後の製品を使い続けることは、新たな脆弱性を突いたマルウェアの感染や攻撃者からの侵入を許しやすい無防備な状態を放置することと言えます。
(4月26日(米国時間)に公表されたInternet Explorerの脆弱性ではWindows XPのInternet Explorer 6にも更新プログラムが提供されましたが、Microsoft社では“例外”としており(*7)、今後の提供は期待できないと考えられます。)


サポート終了製品の把握と後継製品への移行準備を
 Microsoft 社製のWindows Server 2003のサポート終了が2015年7月14日に迫っています。先ごろサポートが終了したWindowsXPのようなクライアントOSと比べ、一般的にサーバーOSは企業情報が集約されており、ウイルス感染などにより情報漏えいの被害が想定されます。その影響は企業にとって大きく、そのため管理者は計画的な後継製品への移行が求められます。
 今や、組織にとって、情報システムの安全確保は事業継続・拡大にとって不可欠です。そのためにはシステムの構築、運用管理、セキュリティ維持のコストに加え、用いているソフトウェアのサポート期限も考慮に入れた後継製品への移行等、トータルなシステム投資計画が極めて重要となります。長期的視点にたった適切な予算を組み、よりセキュアなシステムの利用が実現、維持されることを推奨します。

脚注

(*1) Common Vulnerability Scoring System、共通脆弱性評価システム。
脆弱性の基本評価基準の数値を基にⅠ、Ⅱ、Ⅲの3段階とし、数値が大きいほど深刻度が高い。
Microsoft製品に対するCVSS値はNIST(米国立標準技術研究所:National Institute of Standards and Technology)が評価している。

(*2) Windows XP 等のサポート期間の終了に伴う対応について http://www.soumu.go.jp/main_content/000284896.pdf PDF

(*3) セキュリティ更新プログラムがベンダーから提供される前に、その脆弱性を悪用して行われる攻撃。

(*4) Internet Explorer の脆弱性対策について http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

(*5) 2013年11月:3件(Internet Explorer、Microsoft Office、Windows XP、Windows Server )
       2014年2月:2件(Windows XP、Vista、7、8、Windows Server、Net Framework)
       2014年3月:2件(Internet Explorer)
       2014年4月:1件(Internet Explorer)

(*6) Internet Explorerのゼロデイ攻撃をうけ、Microsoft社ではサポートが既に終了したWindows XPのInternet Explorer 6の更新プログラムの提供を5月2日から開始した。

(*7) http://blogs.technet.com/b/microsoft_blog/archive/2014/05/01/updating-internet-explorer-and-driving-security.aspx 別ウィンドウで開く

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 関口/中西

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。