ネットで検証、パッチなしのWindows 2000は1時間強で侵入される

2006/3/21

 パッチを適用していない「Windows 2000 Server」は1時間16分55秒で侵入される―シマンテックは3月15日に発表したセキュリティに関するレポートで、このような検証結果を明らかにした。同社のコンサルティングサービス部 ディレクター 山内正氏は「OSの脆弱性を示すのが目的ではない。パッチを当てることの有効性を検証結果から認識してほしい」と訴える。

シマンテックのコンサルティングサービス部 ディレクター 山内正氏

 検証はOSをインストールしたサーバをインターネット上に公開し、侵入されるまでの時間を計測した。パッチ無適用のWindows 2000 Serverは最短1分14秒で侵入。最長では18時間27分47秒かかった。平均は1時間16分55秒だった。Windows 2000 ServerにService Pack 4を適用した場合では、侵入までの平均時間は1時間32分8秒だった。

 パッチを適用しない「Windows 2003 Server Web Edition」は、平均4時間36分55秒で侵入を許したが、パッチを完全適用した同OSでは侵入はなかった。また、1時間強で侵入されたWindows 2000 Serverも、パッチを完全適用すると侵入はゼロになった。同じOSでもパッチの適用によってセキュリティ機能に大きな差が出ることが分かる。「Red Hat Enterprise Linux 3」はパッチ無適用でも侵入を許さなかった。

 シマンテックはクライアントOSについても調査した。ファイアウォールを設定していない状態では、パッチを適用していない「Windows XP Professional」「Windows 2000 Professional」は共に平均1時間強で侵入を許した。Windows 2000 ProfessionalはService Pack 4を適用していても平均1時間14分20秒で侵入された。

 一方、パッチを完全適用しているWindows XP Professional、Windows 2000 Professionalは侵入を受けなかった。また、SuSE Linux 9 Desktopも侵入はなかった。

(@IT 垣内郁栄)

[関連リンク]
シマンテックの発表資料

[関連記事]
Windows WMF脆弱性に対し、2つ目の非公式パッチ公開 (@ITNews)
Windows Vistaで語るべき、3つのセキュリティ機能 (@ITNews)
「フルフルで調べます」、シマンテックが中小向け脆弱性調査 (@ITNews)
「ユーザー企業は声を上げよ」―― 山口セキュリティ補佐官 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)