組織は2034年までにこの名前解決技術を削除する必要がありますが、OTプラットフォームがまだ依存している場合、その期間は決して長くありません。
Microsoftはシステム管理者に対し、ネットワークでWINS(Windows Internet Name Service)NetBIOS名前解決技術の使用を2034年までに停止するよう通告しました。しかし、9年という猶予期間でも十分でない場合があります。WINSは今なお利用されており、置き換えが困難なレガシーシステムの一部を支えています。
WINSは1994年のWindows NTから存在し、より現代的なドメインネームシステム(DNS)に取って代わられています。2021年にはWindows Server 2022の登場に合わせて非推奨となりました。これはサポートはされるが開発は終了するという意味で、時限爆弾のカウントダウンが始まったことを示しています。
現在、MicrosoftはWINSをサポートする最後のオペレーティングシステムはWindows Server 2025になると発表しました。これが9年の最終移行期限を決定する理由であり、Windows Server 2025のLong-Term Servicing Channel(LTSC)のサポート期間に基づいています。
「WINSを使用している組織は、最新のDNSベースの名前解決ソリューションへ移行することを強く推奨します」と、同社は11月初旬のWindows Message Centerのアドバイザリで、ある意味当然のことを述べています。
Microsoftによれば、このスケジュールは十分に余裕があるとのことです。「私たちの目標は、計画と移行をできるだけ予測可能かつ低ストレスにすることです。事前の通知とサポート期間を設けることで、組織は自分たちのペースで自信を持って環境を最新化できます」と述べています。
WINSの排除
WINSをサポートしない今後のWindowsバージョンでは、WINSサーバーロールおよび関連バイナリ、WINS Microsoft Management Console(MMC)スナップイン、WINS自動化APIおよび関連管理インターフェースが削除されると、同社は付け加えています。
WINSの移行は、1980年代・1990年代のコンピュータネットワークの創造的な混沌から受け継がれた、またひとつのレガシー問題です。当時は多くのネットワーク課題を急いで解決する必要があり、特にDOSやWindowsのようなデスクトップOSを実用的なサーバープラットフォームに変える方法が求められていました。
WINSは重要な課題を解決しました。それは、1980年代のNetBIOSネットワーク命名システムで使われていたコンピュータ名と、現代のIPアドレスを結びつける方法です。DNSはインターネットにもネットワークアドレスにも対応する階層型システムで、NetBIOSを時代遅れにしました。しかし、両者は共存することになり、業界が同じ問題に複数の解決策を提供した例となりました。
今日、WINSを廃止すべき理由は、その時代遅れであることを超えています。それはセキュリティリスクでもあります。2017年、FortinetのFortiGuard Labsが、Windows Server 2008、2012、2016におけるWINSサーバーのリモートメモリ破損の脆弱性を発見しました。
FortinetへのMicrosoftの回答は興味深いものでした。「包括的な修正にはコードの完全な見直しが必要です。WINSが提供していた機能はDNSに置き換えられており、Microsoftは顧客に移行を推奨しています。」
要するに、Microsoftはこの問題にパッチを当てる計画はありませんでした。同社の解決策は、顧客がWINSから移行することでした。そして、今なお一部の顧客にとっては2030年代までこのプロセスが続く可能性があることが明らかになっています。
なぜWINSはまだ使われているのか
WINSをまだ使っている組織は、大きく2つのカテゴリーに分かれるでしょう。長寿命な運用技術(OT)システムなど古い技術をサポートするために使っている場合と、単にまだ使っていることを半ば忘れている場合です。
「WINS/NetBIOSを中心に構築されたOTスタックの場合、置き換えは簡単ではありません。名前解決を変更することは安全性が重要なシステムや特注の統合部分に影響するからです」と、重要インフラのコンサルティングを専門とする英国サイバーセキュリティ企業Bridewellのセキュリティエンジニアリング責任者Kieran Bhardwaj氏は述べています。
「レガシー技術が残るのは、産業用/OT環境のような一部のニッチなシステムが数十年単位のライフサイクルで設計されているからです。多くの制御システムはアーキテクチャ的に固定されており、再プラットフォーム化できません。また、Microsoftにとっても難しい問題です。WINSはネットワーキングスタックの深い部分にあり、かつての中核コンポーネントを削除するには徹底的な回帰テストが必要で、予期せぬ不具合を避けなければなりません」と述べています。
同様に、ペンテスト企業Closed Door SecurityのWilliam Wright氏によれば、WINSが一部のネットワークで動作し続けているのは、多くのレガシー技術が役割を終えても使われ続ける理由、すなわち「移行の無関心」によるものです。
「現在WINSを稼働させているほとんどの組織は、おそらくそれを何か重要な用途に積極的に使っているわけではありません。ただ、停止する明確な理由がなかっただけです」と彼は述べています。「バックグラウンドで静かにレプリケーションを続け、最小限のリソースしか消費せず、明らかな問題も起こしていません。これがレガシーインフラの本質です。必要だから残っているのではなく、削除には労力とリスクが伴う一方、放置しておけば無料だからです」とWright氏は述べています。
WINSはセキュリティリスク
WINSには重大な設計上の制限があり、それがセキュリティリスクとなっているとWright氏は述べています。「WINSには名前登録の正当性を検証する仕組みがなく、なりすまし攻撃に対して脆弱です」とWright氏は述べています。
「ネットワーク上の攻撃者は、悪意のあるエントリを登録することができ、Web Proxy Auto-Discovery(WPAD)レコードを含めてWebトラフィックを傍受したり、自分たちが管理するシステムに接続をリダイレクトしたりできます。これは横移動のための単純な経路です」と彼は述べています。
Wright氏はさらに、Responderのようなオープンソースツールを使って、レガシーWindowsプロトコルであるLink-Local Multicast Name Resolution(LLMNR)やNetBIOS Name Service(NBT-NS)に対する名前解決ポイズニング攻撃を実行するハッカーにとって、ネットワーク内でWINSがまだ有効になっていることはまさに天の恵みだったと述べています。
さらに悪いことに、WINSが存在することは、ターゲットが他の脆弱なレガシープロトコルも使用していることを示すことがよくあります。「WINSが利用できない場合、システムはしばしばNetBIOSブロードキャストクエリにフォールバックしますが、これはローカルネットワーク上でなりすましが可能です。これこそがResponderのようなツールが悪用するポイントであり、ペネトレーションテストや実際の攻撃でも一般的な手法となっています。」
ネットワークインベントリ
WINSを排除しようとする組織は、まずどこで使われているかを把握するためのインベントリから始めるべきだとBhardwaj氏は述べています。「多くの組織は、レガシー資産がまだWINSに依存していることに気付いていません。したがって、古いセグメントやOT/ICSネットワークを積極的に棚卸しし、次回のアップグレード前に解決経路を確認してください。」
「トレードオフとして、WINSをまだ使っている顧客は、依存関係を監査し、レガシーワークロードを最新化または分離し、DNSを実装することでDNSへの移行作業を行う必要があります。しかし、その見返りは、よりシンプルで安全なプラットフォームです。
結局のところ、どんなに優れた技術でも、いつかはレガシーになります。WINSからの移行は、組織がこのより広範な問題にどれだけうまく対処できているかの試金石です。「使われていないレガシーが多すぎて、何の理由もなく攻撃対象領域を広げている」とBhardwaj氏は述べています。
この記事は、もともとComputerworldに掲載されました。
