Microsoftは、日本時間の2014年4月9日にWindows XPとOffice 2003に対する延長サポートを終了する。この日に公開される予定のセキュリティ情報を最後に、以降は脆弱性を修正するパッチが提供されなくなる見込みだ。
日本マイクロソフトが12月11日現在で取りまとめた2013年のセキュリティ情報の公開状況によると、2013年はのべ142件のセキュリティ情報が同社から提供された。製品タイプ別ではWindows関連が69件と最も多く、次に多いのがOffice関連の32件だった。
このうちXPに影響するものは48件、Office 2003に影響するものは11件あった。つまり、セキュリティ情報が提供されなくなると、XPとOffice 2003では毎年数十件近い未修正の脆弱性が増えていく。脆弱性を悪用するサイバー攻撃の脅威に無防備のまま晒されるだけでなく、脅威が毎年拡大していくというわけだ。
脆弱性には、XPやOffice 2003固有のものだけでなく、WindowsシリーズやOfficeシリーズに共通するものもある。Windows Vista以降やOffice 2007以降で新たに見つかった脆弱性がXPやOffice 2003にも影響する場合があり、サイバー攻撃者がXPやOffice 2003よりも新しい製品に関する脆弱性を参考に、XPやOffice 2003向けの攻撃手法を編み出すことも予想される。
XPやOffice 2003の“延命措置”については、ウイルス対策ソフトベンダーなどがサポート継続を表明しており、サポート期限までに新しい製品への移行が間に合わない企業や組織ではベンダーのサービス利用を検討しているところが少なくない。なお、原則として各社のサービスで対応できるのは、XPで動作する不正プログラムが見つかった場合の定義ファイルの提供や不正プログラムの駆除まで。一部を除き、ベンダー各社は「XPやOffice 2003の脆弱性に起因する脅威対策は提供できない」と説明している。
このように修正パッチが提供されなくなるXPやOffice 2003の継続利用には、実に多くのセキュリティリスクが伴う。
しかし、日本マイクロソフトが12月初旬に実施したXPとOffice 2003のサポート終了に関する認知度アンケートでは、「サポート終了のリスクが分からない」という回答がXPで20.2%、Office 2003で30.2%に上った。この結果は、10月時点に比べるとそれぞれ5ポイント近く減少したが、“セキュリティのリスク”を認知できていないユーザーはまだ多いと言えるだろう。なお、サポート終了日の認知度はXPで78.8%、Office 2003で51.0%だった。
セキュリティの専門家は、「セキュリティのリスクを認知しているというのは、普段から適切な対策を実施していることの裏返しであり、リスクを認知できないことは適切な対策もできていないといえる」と指摘している。
関連記事
関連リンク
Copyright© 2013 ITmedia, Inc. All Rights Reserved.