Windows Server 2012 および 2012 R2 のサポート終了に伴う注意喚起

概要

2023 年 10 月に Microsoft 社が提供している OS である Windows Server 2012 および 2012 R2 のサポートが終了します。一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止等の被害を受ける可能性が高くなります。対象 OS を使用しているユーザは、速やかな最新版への移行等の実施が求められます。

対象 OS は以下の通りです。

サポートが終了するソフトウェア製品の継続利用に伴うリスク

Windows Server 2012 および 2012 R2 における 2022 年 7 月 ～ 2023 年 6 月末までの脆弱性の深刻度別割合について

全体の 4.4%（19 件）が最も深刻度の大きい「緊急」でした。

上図脚注1で示す 2022 年 7 月から 2023 年 6 月までの期間においては、対象 OS で発見された脆弱性の約 8 割が深刻度の大きい脆弱性でした。また、深刻度の大きい「緊急」および「重要」に相当する脆弱性のうち、CVE-2022-30190（Follina）、CVE-2022-41040 および CVE-2022-41082（ProxyNotShell）、CVE-2023-23397 等については、APT 攻撃に悪用された事例が確認されています。

サポートが終了した OS を使用し続け、仮に危険度の高い脆弱性が新たに発見された場合、製品ベンダによる修正等の対応が期待できず、セキュリティリスクを解消することができなくなります。結果として、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止等の被害が生じる可能性が高くなります。

サポートが終了した OS 上で稼動するサードパーティ製ソフトウェア

OS のサポート終了による影響は、これら OS 上で稼動しているブラウザやテキストエディタといったサードパーティ製のソフトウェア製品にも及びます。例えば、OS のサポート終了に伴い、その OS 上で動作するソフトウェア製品のサポートも終了することが考えられます。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキュリティ上のリスクを抱えることになります。

そのため、OS のサポート終了を見越してサードパーティ製のソフトウェア製品等の更新も実施するようにしてください。

根本的対策

• サポートが継続している後継または代替の OS に移行する
• 後継または代替の OS 上で動作するソフトウェア製品に移行した上で動作検証を行う

脚注

1. 脚注1
   本深刻度別割合は CVSS v2 から CVSS v3 の基本値をもとに算出するよう変更しました。また、CVSS v3 の深刻度別色分けについても、深刻度の大きさが把握しやすいよう、従来のものから見直しを行っております。

関連ページ

• 2023 年のサポート終了
• Windows Server 2012 および 2012 R2 のサポート終了
• Microsoft 製品の脆弱性対策について (2022 年 11 月)