企業のネットワーク内で古いバージョンのオペレーティングシステムが稼働しているシステムが存在するのは、現実的な問題です。エクスポージャーマネジメント企業runZeroによる最近の分析によると、8.56%の資産がサポート終了(EOL)のオペレーティングシステムを使用しており、観測された全資産の5%はすでに2023年9月30日時点でセキュリティサポートが終了しています。
誰も覚えていないクローゼットの中のサーバーが該当するかもしれませんし、あるいは非常に重要な業務アプリケーションが古いオペレーティングシステムでしか動作しない場合もあります。
「私の100万ドルのMRIマシンはWindows 7でしか動かないんですよ」とrunZeroのセキュリティリサーチ担当副社長、トッド・ビアズリー氏は冗談を交えて語ります。
ビアズリー氏によると、runZeroのカウント調査の主な目的は、特定の企業内におけるサポート終了システムの「標準的な」割合を把握することでした。インターネットスキャンによって、攻撃者が外部から確認できるレガシーシステムや古いアプリケーションの数を把握することはできますが、それは物語の一部に過ぎません。攻撃者は一度ネットワークに侵入すると、偵察活動を通じて他の侵害可能なシステムを探し出します。組織は、攻撃者が調査中に遭遇するシステムのうち5%が脆弱である可能性があることを認識する必要があります。
理想を言えば、組織内にサポート終了システムが一切存在しないと言いたいところですが、現実的には基準値を設け、その上で自社のサポート終了システムが「標準」より多いかどうかを評価し、標的となるリスクを判断する方が現実的です。だからといって、企業内の資産の5%未満しかパッチが当てられない場合に、セキュリティチームが安心してよいというわけではないとビアズリー氏は指摘します。
業界ごとの内訳は、攻撃対象領域や関連リスクを評価する上で有用です。サポート終了システムの基準値が5%である中、小売、機械・電子機器製造、専門/科学/技術サービス、木材・紙・化学品製造の4業界は平均よりも悪い結果となっています。木材・紙・化学品製造分野にはバイオテクノロジーや製薬会社も含まれており、これらがサポート終了および延長サポート終了のオペレーティングシステムの多さの要因となっています。
Windows 10のサポート終了で攻撃対象領域が拡大
Windows 10は公式に10月14日にサポート終了となり、これ以降はセキュリティアップデートが提供されなくなります。Windows 10は依然として広く使われており、runZeroのビアズリー氏によれば、全世界のWindowsシステムの3分の1を占めています。つまり、非常に多くのマシンが今後サポートされなくなるということです。
組織内のサポート終了システムの基準値は?「その数字は10月14日にほぼ3倍に増加します」とビアズリー氏は述べています。
サポート終了はシステムが動作しなくなることを意味しません。これまで通り機能し続けます。しかし、Windows 10にはまだ発見・修正されていない脆弱性が存在するのも事実です。サポート終了後にこれらの脆弱性が発見された場合(攻撃者が悪用方法を見つけた場合など)、パッチやアップデートが提供されないため、システムは危険にさらされます。例外もあり得ます。例えば、マイクロソフトはWindows XPのサポート終了から3年後の2017年に、WannaCryによる脆弱性悪用を受けて緊急パッチをリリースしました。しかし、セキュリティチームはこのような緊急対応を当てにすべきではありません。
マイクロソフトは過去2年間にわたりWindows 10のサポート終了について言及してきましたが、Windows 10のセキュリティパッチ終了に対する危機感がほとんど見られないのは「不可解であり、憂慮すべきことだ」とビアズリー氏は指摘します。Windows 11のシステム数がWindows 10を上回ったのは、つい先月のことでした。
「EOL(サポート終了)になったからといって、即座にクラッシュや侵害、ランサム要求が発生するわけではありません」とビアズリー氏は述べています。「しかし、もし私が国際的な諜報活動やサイバー戦争に従事しているなら、通常のアップデートで防げなくなるまで、強力なWindows 10のエクスプロイトを温存しておくでしょう。」
