サポート切れのサーバーOSを使い続けるリスクは経営課題と考えるべき：IPAが警鐘を鳴らすWindows Server 2003サポート終了の問題点

サポート終了後は脆弱性をカバーできず、セキュリティリスクが高くなる

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 主任研究員 渡辺貴仁氏

　Windows Server 2003／2003 R2のサポートは、2015年7月15日（日本時間）に終了する。OSのサポートが終了すると、以降は脆弱（ぜいじゃく）性が発見されてもマイクロソフトからはセキュリティ更新プログラムが配布されないため、セキュリティ面で大きな不安を抱えることになる。では、具体的に企業はどのようなセキュリティリスクを負うことになるのか。独立行政法人 情報処理推進機構（以下、IPA）の渡辺貴仁氏に話を聞いた。

　「Windows Server 2003のサポート終了対策は、企業の情報システム部やシステム管理者の課題であるだけでなく、経営課題であることを理解して、組織的に対応する必要があります」と渡辺氏は警告する。サポートが切れたWindows Server 2003／2003 R2の脆弱性が悪意ある攻撃者から狙われることによってサーバーサービスが止まったり、情報漏えいなどで信頼が失墜したりしてしまい、事業継続が困難になるほどの経営への影響が出てくる可能性があるというのだ。

　マイクロソフトのWindows Server 2003に限らず、クライアント／サーバーOSを含む全てのソフトウェアには「脆弱性」が存在する。形式的にはバグや欠陥とはならない潜在的な問題点が後から発見されることは多く、悪意を持った攻撃者が攻撃を目的に脆弱性を見つけようとしているのだ。それ故、ソフトウェアベンダーは、発見された脆弱性に対してセキュリティ更新プログラムを配布し、システムを安全に保つようにしている。

　IPAの脆弱性対策情報データベース「JVN iPedia」によると、Windows Server 2003の脆弱性は2014年以降も発見されており、2014年上半期は9件の脆弱性があったという。その9件のうちの6件は共通脆弱性評価システム（Common Vulnerability Scoring System：CVSS）で最も危険とされるレベル3で、2件はセキュリティ更新プログラムが配布される前のゼロデイ攻撃で発見された脆弱性だった。

　「2014年の後半も、そして2015年のサポート終了後もWindows Server 2003の脆弱性は発見され続けると考えられます」と話す渡辺氏は、これらの脆弱性が発見されても、サポート終了後はセキュリティ更新プログラムが配布されず、非常に危険な状態となると説明する。

　実際に、2014年4月9日にサポート終了となったWindows XPでは、わずか半月後の2014年4月27日に新たな脆弱性が発見されている。具体的には「Internet Explorer（IE）」の脆弱性が発見されたことで、IE 6を搭載しているWindows XPも脆弱性の対象となるという事案だった。この件に関して、マイクロソフトとしてはWindows Vista以降のIEに対して更新プログラムを配布しても、Windows XPのIE 6に対して更新プログラムを配布する責任はなかったのである。

　「メディアで大きく取り上げられて、問題視されたため、マイクロソフトはWindows XPに対しても更新プログラムを配布しましたが、通常は提供されないはずです。個人向けのクライアントOSであるため、特別措置が行われましたが、企業が利用するサーバーOSの場合は、特別措置なしに企業の責任となると、個人的には考えています」（渡辺氏）

サポート終了後の脅威によって経営に影響が及ぶことも

　では、具体的にどのような脅威がサポート終了後のWindows Server 2003に発生する可能性があるのだろうか。渡辺氏は、「脆弱性が未解決なサーバーだけでなく、それらを中核として稼働するサービスやシステムも含めて考える必要があります」と述べ、以下のような脅威を示す。

• DoS（Denial of Service Attack：サービス妨害）攻撃などによるシステムやサービスの負荷増大・停止
• データ消去、システム破壊：重要なデータが消されたり、重要なプログラムの消去によってシステムが停止したりする
• 情報漏えい（機密情報の漏えいやIDパスワードの漏えい）
• 踏み台：自分たちだけが被害を受けるのではなく、その先の利用者や他社に被害を波及させてしまう可能性がある
• ホームページ改ざん
• ウイルス配布サイト：HTMLを改ざんされてウイルスを配布するプログラムを組み込まれる

　Windows Server 2003は、Webサーバー、DNSサーバー、アプリケーションサーバー、データベースサーバー、組織内のディレクトリサーバー、ファイルサーバーなど、さまざまな用途で利用されている。外部に公開されているWebサーバーやDNSサーバーがインターネット経由で直接攻撃されるのはもちろん、内部のサーバーも攻撃される可能性があると、渡辺氏は警告する。

　「外部に公開していないサーバーだからWindows Server 2003のままでよいというわけではなく、危険を招く可能性があることを理解してほしいと思います。例えば、標的型攻撃では、メールやUSBメモリなどの可搬メディアを使ってマルウェアを組織内のクライアントPCに送り込み、そこからディレクトリサーバーを攻撃して、管理者のIDとパスワードを盗み出し、さらに奥にある重要な情報を盗み出します。このとき、内部のサーバーにサポート切れのサーバーOSなどを使っていれば、脆弱性が狙われて簡単に情報が漏えいしてしまうことになります」（渡辺氏）

　また、上記のようにシステムやサービス停止などの自社の被害だけでなく、自社サーバーが踏み台にされて、利用者や他社へのウイルス配布や攻撃の踏み台にされることにも注目しておきたい。これらの被害が発生した場合、自社が被害者になるだけでなく加害者となってしまい、信頼の失墜によって顧客が離れてしまう危険性があるのだ。

　「サーバーOSは、Windows XPのようなクライアントOSとは異なり、対策が不完全な場合は企業の責任に直接つながってしまうことを理解してください。サーバーOSは直接攻撃される可能性が高く、さまざまなリスクや被害が生じる可能性があり、企業の信頼の失墜や経営への影響を引き起こす可能性があるのです」（渡辺氏）

自社の状況をしっかりと見極め、経営課題として移行計画を遂行する

　Windows Server 2003のサポート終了対策を行う際の注意点として、渡辺氏はしっかりとした計画と対応が必要であることを強調する。

　「移行では、新しいサーバーOSでアプリケーションやミドルウェアが正しく稼働するかどうかを検証し、場合によっては改修する必要が出てきます。そのため、社内にどのようなサーバーがあって、どの用途でどのサーバーOSを使っているかを調べ、サーバーを入れ替えるためにどのような調整・改修が必要となるかのリスク分析を行う必要があります」（渡辺氏）

　組織が大きければ大きいほど、現在のIT管理者が把握していないサーバーや、誰かが勝手に立てているサーバーが存在する可能性があるとも指摘する。サポート終了対策を契機として、組織のシステムやセキュリティの全体を調べ、見直していく必要があるというのだ。サポート終了まで1年を切っている中で、これらのリスク分析を早急に行い、移行計画をしっかりと立てた後が、Windows Server 2003のサポート終了対策のスタートラインといえるだろう。

　「前述のように、サポート切れのサーバーOSはさまざまなリスクがあり、組織として他の会社や利用者に迷惑が掛かるということをしっかりと意識する必要があります。予算という面から見ても、単に情報システム部やシステム管理者だけが動くのではなく、経営課題としてトップダウンで対策を考え、予算をしっかりと取って計画的に行う必要があります」（渡辺氏）

　Windows Server 2003から新しいサーバーOSへの移行は、すでに待ったなしの状態となっているため、まずは自社のサーバー環境をしっかりと把握して、どのような対策と計画を行うかを早急に見極めていくことが重要となる。