情報セキュリティ
最終更新日:2023年7月10日
2023 年 10 月に Microsoft 社が提供している OS である Windows Server 2012 および 2012 R2 のサポートが終了します。一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止等の被害を受ける可能性が高くなります。対象 OS を使用しているユーザは、速やかな最新版への移行等の実施が求められます。
対象 OS は以下の通りです。
Windows Server 2012
Windows Server 2012 R2
全体の 4.4%(19 件)が最も深刻度の大きい「緊急」でした。
上図脚注1で示す 2022 年 7 月から 2023 年 6 月までの期間においては、対象 OS で発見された脆弱性の約 8 割が深刻度の大きい脆弱性でした。また、深刻度の大きい「緊急」および「重要」に相当する脆弱性のうち、CVE-2022-30190(Follina)、CVE-2022-41040 および CVE-2022-41082(ProxyNotShell)、CVE-2023-23397 等については、APT 攻撃に悪用された事例が確認されています。
サポートが終了した OS を使用し続け、仮に危険度の高い脆弱性が新たに発見された場合、製品ベンダによる修正等の対応が期待できず、セキュリティリスクを解消することができなくなります。結果として、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止等の被害が生じる可能性が高くなります。
OS のサポート終了による影響は、これら OS 上で稼動しているブラウザやテキストエディタといったサードパーティ製のソフトウェア製品にも及びます。例えば、OS のサポート終了に伴い、その OS 上で動作するソフトウェア製品のサポートも終了することが考えられます。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキュリティ上のリスクを抱えることになります。
そのため、OS のサポート終了を見越してサードパーティ製のソフトウェア製品等の更新も実施するようにしてください。
IPA セキュリティセンター
注釈:終了日の詳細や個別の環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダ等にお問合せください。
2023年7月10日
掲載