HOMEIPAについて新着情報プレス発表 サポートが終了するWindows Server 2003を利用している企業・組織への注意喚起

本文を印刷する

IPAについて

プレス発表 サポートが終了するWindows Server 2003を利用している企業・組織への注意喚起

~サポートが終了したサーバーOSの使用は事業継続のリスクに~

2014年7月30日更新
2014年7月 8日公開
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2015年7月15日(日本時間)にサポートが終了するマイクロソフト社のOS(基本ソフト)「Windows Server 2003」を利用している企業・組織に対し、サポートが継続しているOSへのバージョンアップ実施を呼びかけるため、注意喚起を発することとしました。


 およそ1年後の2015年7月15日(日本時間)にマイクロソフト社が提供しているOS「Windows Server 2003」のサポートが終了します (*1)。OSのサポートが終了すると、たとえ新たな脆弱性が発見されたとしても、修正プログラムが提供されなくなり、脆弱性を悪用した攻撃に遭う可能性が高まります。当該OSの利用者においてはサポートが継続しているOSへの移行検討と、サポート期間内での迅速な実施が望まれます。

1. サポートが終了したOSを使い続ける危険性

 OSのサポート期間中に脆弱性が発見された場合、修正プログラムが提供されます。この修正プログラムを適用すれば脆弱性の影響を回避できます。しかし、サポート終了後は修正プログラムが提供されません。サポート終了後も「Windows Server 2003」を使い続けると、マルウェアへの感染や攻撃者の侵入を受ける可能性が高くなります。2012年7月から2014年6月の2年間に「Windows Server 2003」が影響を受ける脆弱性が231件公表され、その内170件は深刻度の高いレベルⅢでした。
 攻撃による被害を防ぐためには、「Windows Server 2003」のサポートが終了する前にサポートが継続しているOSに移行する必要があります。


図1: 2012年7月から2014年6月の2年間に発見されたWindows Server 2003が
影響を受ける脆弱性の深刻度割合

2. サーバー用OSの脆弱性を悪用される例

 以下に、脆弱性が悪用されることで起こりうる2件の例を示します。サポート終了後はマルウェア感染によるシステムへの不正侵入、および情報漏えいのリスク等様々な脅威が想定されます。

(1) システムダウン、ひいては業務停止等の恐れ
 マルウェアの感染により、システムのネットワーク負荷増大およびパフォーマンス低下、ひいてはシステムの停止を引き起こす可能性があります。また、パフォーマンスの低下やシステムの停止は業務効率の低下や業務停止につながります。


図2: 企業・組織内でマルウェア感染が拡大するイメージ

[例]
 2008年に流行した“Conficker”(コンフィッカー)と呼ばれるマルウェアは、「Server サービスの脆弱性(MS08-067)」(*2)という脆弱性を悪用して、自己増殖により感染を拡大するもので、感染拡大時に組織のシステムに大量の通信を発生させ、ネットワークを麻痺させました。

(2) 機密情報の漏洩、不正持ち出し
 脆弱性が悪用されると、一般ユーザー権限から管理者権限へと権限が昇格され、本来アクセスが許可されないファイルにもアクセスされてしまい、例えば組織の内部者による不正持ち出しも可能となります。また、標的型攻撃により侵入を許してしまうと、機密情報が外部の攻撃者の手に渡ることも考えられます。その結果、企業・組織の信用や競争力が低下するだけでなく、取引先などに被害が及ぶ可能性があります。



図3: 企業・組織から機密情報が持ち出されるイメージ

[例]
 「Windows カーネルの脆弱性(MS14-002)」(*3)は、一般ユーザー権限から管理者権限へと権限昇格を可能にする脆弱性であり、これを悪用すると通常アクセスが不可能な機密情報の持ち出しが可能になります (*4)

3. 企業・組織への要望

 企業・組織内で「Windows Server 2003」の利用有無とその用途を確認のうえ、利用が確認された場合には速やかにサポートが継続しているOS(表1を参照)への移行が必要です。サーバーOSは長期間使用することが多いため、導入時からサポート期間を考慮しておく必要があります。また、移行においては人的、経済的等、様々な制約がありますが、前述のとおり被害の影響は、事業継続の危機に直結しかねません。可能な限り早期に計画的な移行の計画・実施が求められます。
表1. サポートが継続しているサーバーOSとそのサポート期間 (*5)
OS サポート期間(2014年7月現在)
Windows Server 2008 R2 2020年1月15日(日本時間)まで
Windows Server 2012 R2 2023年1月11日(日本時間)まで

4. Windows Server 2003サポート終了に関する情報

 IPAでは今後、Windows Server 2003サポート終了に関する新たな情報を以下のページで更新していきます。また、Microsoft社でもWindows Server 2003サポート終了に伴うセキュリティ上のリスクや移行相談窓口のページを公開していますので、あわせてご確認ください。

  • 特集コンテンツ:Windows Server 2003のサポート終了に伴う注意喚起
  • 「Windows Server 2003 のサポートが終了します。」(日本マイクロソフト)

脚注

(*1) マイクロソフト プロダクト サポート ライフサイクル
http://support.microsoft.com/lifecycle/?p1=10394 別ウィンドウで開く

(*2) マイクロソフト セキュリティ情報 MS08-067 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms08-067.aspx 別ウィンドウで開く

(*3) マイクロソフト セキュリティ情報 MS14-002 - 重要
https://technet.microsoft.com/library/security/ms14-002 別ウィンドウで開く

(*4) WindowsXPを狙ったゼロデイ攻撃を確認
http://blog.trendmicro.co.jp/archives/8222 別ウィンドウで開く

(*5) マイクロソフト プロダクト サポート ライフサイクル(2014年7月30日リンク先訂正)
http://support.microsoft.com/lifecycle/?c1=508 別ウィンドウで開く

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 加賀谷/扇沢

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2014年7月8日 プレスリリース公開
2014年7月30日 脚注(*5)のリンク先を訂正