連載
» 2014年06月18日 12時07分 UPDATE

Tech TIPS:仮想化を利用したWindows XP運用も安全ではない

サポートが終了し、新たなセキュリティパッチの提供が停止したWindows XP。「仮想化すれば安全」という説があるが、それは本当か?

[島田広道,デジタルアドバンテージ]
「Windows TIPS」のインデックス

連載目次

対象ソフトウェア:Windows XP


解説

 Windows XPは2014年4月でサポートが終了したため、原則として新たな脆弱性が発見されてもセキュリティパッチが提供されず、新たな攻撃を防御できない状態に陥っている。しかし予算不足や互換性問題といった事情から、いまだに相当数のWindows XP搭載マシンが現役として稼働しているという。こうした中、Windows XPを「延命」するのに仮想化技術を利用した方法が提案されることがある。では、仮想化でWindows XPは安全に運用できるのだろうか?

●単に仮想化しただけでは危険性は変わらない

 仮想化を利用すると安全性が高まるという仮説は、「Windows XPを仮想化すれば、マルウェアの感染経路から隔離できる」ことを想定している。Windows XPを仮想マシン上で稼働させれば、マルウェアとの接触を防ぐことができる、という主張だ。

 しかし、ただ単にWindows XPを仮想マシンに移しただけでは、実は安全性は向上しない。マルウェアの主な感染経路であるネットワーク接続(特にインターネットとの接続)は、明示的に設定しない限り、仮想マシンでも物理マシンと同様に利用できるからだ。

 さらに、たとえホストマシン(仮想マシンを実行している物理マシン)に一般的なクライアントPC用ウイルス対策ソフトウェアをインストールして保護していても、それによって仮想マシンは保護されないのが普通だ。

ホストマシン側のウイルス対策ソフトウェアで仮想マシンを保護できない例 ホストマシン側のウイルス対策ソフトウェアで仮想マシンを保護できない例
これはクライアントPC用ウイルス対策ソフトウェアをインストールしたWindows 8.1で、Hyper-V上でWindows XPの仮想マシンを起動してウイルス検知テスト用ファイル「eicar.com」をダウンロードしたところ。なお仮想マシン上のウイルス対策は一時的に無効化している。
  (1)ホストマシン側では正常にウイルス対策ソフトウェアが実行されている。
  (2)eicar.comは無害なファイルだが、ウイルス対策ソフトウェアはこれをウイルスとして検知・処理する。ここでは、正常にダウンロードが完了して仮想マシンのデスクトップに保存されている。つまり物理マシン側のウイルス対策ソフトウェアでは検知されていないことが分かる。

 ウイルスやマルウェアへの感染は、不正なプログラムのダウンロードや実行だけでなく、Webブラウザーで不正なサイトへアクセスした場合などでも発生する。従って、より完全に対策するには、仮想マシンでも物理マシンと同様に、少なくともネットワーク接続の制限やウイルス対策ソフトウェアの導入といった対策が必要ということだ。

●仮想化しても、マルウェア混入の可能性があるファイルのやりとりは止められない

 では、仮想マシンでネットワーク接続を全面的に無効化し、ウイルス対策ソフトウェアもインストールし、さらにマルウェア感染の危険性があるUSBメモリの利用も禁止したとしよう。これで完全に安全といえるだろうか?

仮想マシンではネットワーク接続やUSBメモリの利用を禁止できる 仮想マシンではネットワーク接続やUSBメモリの利用を禁止できる
これはVMware Playerの仮想マシン設定パネルの例。
  (1)これはネットワーク接続をホストマシンだけに制限した設定。仮想マシンからはホストマシンしかアクセスできない(物理LANやインターネット接続は不可)。
  (2)これをクリックすることで、仮想マシンからネットワークアダプターやUSBコントローラーを削除し、これらの利用を禁止することも可能だ。

 それでも、仮想マシンで何らかの業務を遂行する限り、仮想マシンとその他のマシンの間でどうしてもファイルのやりとりが必要になってしまう。ネットワーク接続やUSBメモリが使えない場合でも、クリップボード経由で仮想マシンとホストマシンの間のファイル交換はできる。ここでもし、ホストマシンから渡すファイルにマルウェアが混入したら、Windows XP上のアプリケーションでそのファイルを開いたときに感染する可能性は否定できない。

 「ウイルス対策ソフトウェアが検知・保護してくれるはずだ」という意見もあるだろう。しかしウイルス対策ソフトウェアによるウイルス検知率は100%ではない(特に標的型攻撃だと検知率は下がる)。ウイルス対策ソフトウェアによる保護をすり抜けてWindows XPの仮想マシンにマルウェアが到達する危険性は、0%とはいえない。

 そしてWindows XPの場合、これから発覚する脆弱性が修正されることはなく、そのままセキュリティ上の「穴」として残り続ける。そのため、サポート対象のOSと比べて、到達したマルウェアが感染・発動する危険性は高まる一方だろう。


 セキュリティリスクは常に最悪の事態を考えるべきだとしたら、仮想化しても安全とはいえない。物理マシンの時と同じような使い方をしている限り、仮想化しても危険性は同じだ。同じようにインターネットやイントラネットに接続すれば、同じように感染するからだ。このような運用は避けられない移行期の一時避難的措置としてはあり得るかもしれないが、安全性を担保できないWindows XPを一刻も早く排除するという結論に変わりはない。

「Windows TIPS」のインデックス

Windows TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。