連載
» 2020年06月11日 05時00分 公開

脆弱性対策・管理入門(3):依然として高シェアだがサポート終了のWindows 7、脆弱性対策はどうあるべきか

脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、Windows 7サポート終了における脆弱性対策について。

[草薙伸,テナブル・ネットワーク・セキュリティ・ジャパン]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。連載第2回の前回は、現在の世界的な危機である新型コロナウイルス感染症(COVID-19)によるリモートワークとセキュリティ上の脅威について説明した。今回も、今日的なテーマである、「Windows 7」のサポート終了における脆弱性対策について説明する。

 Windows 7のサポートが2020年1月14日に終了した。この事実はずいぶん前からMicrosoft自身からも、その他、多くのPCメーカーからも通知されており、その日が来たことを知らないIT管理者は一人もいない。サポートが終われば、セキュリティパッチの提供は行われず、その端末の脆弱性は放置される。誰もがその危険性について気付いている。しかし、対策は遅れているのが現実だ。現時点で分かっているのは、Windows 7が当分の間、多くの企業ネットワーク内に残り続けるということだ。

 Microsoftのアナウンスによると、2019年12月時点のWindows 7のOSシェアは19%であり、Windows 7のサポートが終了した2020年1月時点でも、Windows 7搭載PCが、法人で753万台残存することになるという。「StatCounter」によるデータでは、2020年2月時点での、日本におけるWindows 7のシェアは13.34%であり、この数字には法人だけではなく個人も含まれているとはいえ、依然としてWindows 7のシェアは高い状況が続いている。

 Microsoftは、サポート終了が近づくWindows 7が残存する状況に対応するため、法人ユーザーに対する有償でのWindows 7サポート延長(ESU:Extended Security Updates)を打ち出した。しかし3年間限定であり、そして1台50ドル程度から毎年倍になる金額設定も考えると、全てのWindows 7においてサポート延長が購入されるようなことはなさそうだ。サポート外のOSを使い続けることはもちろん勧められないが、「Windows XP」以前のOSシェアさえ1%近くを保っている現状を思えば、セキュリティパッチが適用されていないWindows 7が残り続ける前提でのセキュリティ対策を考える必要が出てくる。

WannaCryの教訓

 WannaCryの騒動を振り返れば、対策のヒントがつかめるかもしれない。WannaCryは世界中で多くの企業がダメージを受けたランサムウェアであり、Windowsファイル共有プロトコルであるSMB(Server Message Block) v1の脆弱性を利用して感染していった。日本でも多くの著名企業が被害に遭っている。WannaCryの大規模な攻撃が開始されたのは、2017年5月13日。この日付に至るまでこの脆弱性に対しどのような動きがあったのかを時系列で見ていきたい。

  • 2016年9月16日:MicrosoftがブログでSMB v1の無効化を強く推奨
  • 2017年3月14日:MS17-010(Windows SMBサーバ用のセキュリティ更新プログラム)
  • 2017年3月16日:CVE-2017-143発行。CVSSベーススコアは8.1
  • 2017年3月17日:Microsoftセキュリティ月例品質ロールアップ
  • 2017年4月11日:Microsoftセキュリティ月例品質ロールアップ
  • 2017年4月14日:Windowsの脆弱性MS17-010を標的とする攻撃ツール公開
  • 2017年4月25日:最初の感染例が確認される
  • 2017年5月10日:Microsoftセキュリティ月例品質ロールアップ
  • 2017年5月12日:感染が拡大
  • 2017年5月13日:世界的に大規模な攻撃が開始される
  • 2017年5月13日:Microsoftがサポート外の古いOSへ臨時セキュリティパッチを提供

 この時、サポート対象外だったWindows XPへの感染も報告されてはいるが、実はWindows 7への感染が最も多かったといわれている。この時点でWindows XPのOSシェアは5%程度まで減っていたとはいえ、被害に遭ったOSの多くがWindows 7だったという事実は、通常のセキュリティアップデートが行われていないWindows 7端末の多さを示している。このことから企業で管理する各端末において、セキュリティパッチの適用が行われているかどうかを確認できる仕組みが必要だと考えられる。

 既にサポート対象外であるWindows XPでは感染拡大に至るまでセキュリティパッチはリリースされていなかったが、SMB v1を無効化する、あるいはポート445を閉じる対策をとれば脆弱性の影響は受けなかった。セキュリティパッチがなくとも、その時にできる対策があり、特にサポート外のOSを使い続ける場合は脆弱性の緊急度に応じて何らかの対策をとる必要がある。

 対策の遅れも大きかった。以前から指摘されていた問題だったが、Microsoftによるパッチの提供から最初の感染までに42日、感染の拡大までに59日の時間が過ぎている。脆弱性データベースである「NVD(National Vulnerability Database)」で付与された、脆弱性の危険度を表すCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)のベーススコアは8.1。「Critical」ではない「High」という位置付けだった。もし企業で「CVSSのCritical以上」というルールの下で緊急対策の有無を決定していた場合、看過してしまった可能性もある。CVSSベーススコアは、攻撃コードの有無がスコアに反映されておらず、また一度設定されたスコアが変わることはない。

 WannaCryにおける教訓のまとめは、下記の通りだ。

  • パッチやサービス停止など脆弱性をふさぐ対策は必須
  • 各端末へのパッチ適用の有無を確認できる仕組みが必要
  • 脆弱性の緊急度の判断に、CVSSベーススコアだけでは不足

とるべき対策

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。