HOMEIPAについて新着情報プレス発表「3か月後に控えたWindows Server 2003のサポート終了に関する注意喚起」

本文を印刷する

IPAについて

プレス発表「3か月後に控えたWindows Server 2003のサポート終了に関する注意喚起」

~組織内部に設置されたサーバーも漏れなく移行を~

2015年4月14日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2015年7月15日(日本時間)にサポートが終了する日本マイクロソフトの「Windows Server 2003」について、このOSを利用している企業・組織に対し、サポートが継続しているOSへのバージョンアップ実施を呼びかけるため、サポート終了が3ヶ月後に迫る本日、改めて注意を喚起することとしました。

 2015年7月15日に日本マイクロソフト社(以下、マイクロソフト)が提供しているOS「Windows Server 2003」のサポートが終了します(*1)。OSのサポート終了後は、新たな脆弱性が発見されても修正プログラムが提供されないため、脆弱性を悪用した攻撃を受け、「サーバーが乗っ取られる」「業務が停止する」「機密情報が漏洩する」などの被害に遭う可能性があります。また、脆弱性は昨今問題となっている内部不正への悪用も懸念されるため、企業・組織のリスク回避の観点から、「Windows Server 2003」を利用するシステムは後継システムへの移行が求められます。

いまだ発見される「Windows Server 2003」の脆弱性

 IPAが運営する脆弱性対策情報データベースJVN iPedia(*2)には、「Windows Server 2003」の脆弱性対策情報が2014年度(2014年4月から2015年3月)49件登録されています(図1)。このように、「Windows Server 2003」は発売から10年以上経過した現在でも脆弱性が発見されており、サポート終了後においても引き続き発見される懸念があります。しかし、サポート終了後には修正パッチは提供される予定はありません。


図1. 2014年度 Windows Server 2003 脆弱性対策情報のJVN iPedia 登録件数推移

想定される脆弱性の悪用による被害

 脆弱性が悪用されると、ファイルサーバーやリモートデスクトップ用のターミナルサーバーなど、企業・組織内部の閉じた環境に設置したサーバーであっても「権限昇格による機密情報の閲覧・窃取」「データやシステムの破壊」の可能性があります。実際、IPAの調査(*3)で“セキュリティパッチをほとんど適用していない” と回答があった割合は、「外部サーバーには6.3%」「内部サーバーにおいては16.8%」という結果があり、自組織内部のサーバーへの油断が垣間見られます。その他、ウェブサーバーなどインターネットに公開されているサーバーは、「ウェブの改ざん」「データやシステムの破壊」「別の攻撃の踏み台に悪用」の可能性があります。

ソフトウェアのライフサイクルを意識した計画的なシステム運用を

 ソフトウェアの開発元は、製品計画の一環でサポート期間やサポート終了日を事前に示している場合があります(*4)。企業・組織の管理者は自組織のシステムに使用しているソフトウェアのライフサイクルを常に念頭に、安全な運用の維持を心掛けておく必要があります。サポート終了がきっかけで直ちに被害に遭うわけではありませんが、事業へのリスクを回避するために、いまからでも移行計画を立案し、後継システムへ可能な限り早く移行させることが望まれます。

 IPAでは以下のウェブページを2014年7月より公開していますので参照してください。

  特集コンテンツ「Windows Server 2003のサポート終了について」
  FAQ「よくある相談と回答(FAQ):Windows Server 2003のサポート終了」

脚注

(*1) マイクロソフトは以下の特設ページで移行を呼びかけている。
http://www.microsoft.com/ja-jp/server-cloud/local/products/windows-server-2012-r2/migration/campaign.aspx 別ウィンドウで開く

(*2) 「脆弱性対策情報データベースJVN iPedia(http://jvndb.jvn.jp 別ウィンドウで開く)」は、世界中で公表されるソフトウェア製品の脆弱性対策情報をシステム管理者や開発者が脆弱性対策のために参照できるデータベース。

(*3) 2015年1月17日発表「2014年度情報セキュリティ事象被害状況調査」報告書 (http://www.ipa.go.jp/about/press/20150115.html)P60 「セキュリティパッチの適用」

(*4) マイクロソフトは、2004年に改定したサポートライフサイクル(http://support.microsoft.com/lifecycle/?p1=10394 別ウィンドウで開く)に従い、Windows Server 2003のサポート期間を2015年7月15日(日本時間)までと提示している。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 中西/土屋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。