サポート終了後にWindowsXPを使用することの危険性[PDF]

Windows XP / Office 2003
サポート終了
2014 年 4月 9日(日本時間)
サポート終了後は製品の安全な利用に必要なサポートが受けられなくなります。
セキュリティ
更新プログラム
脆弱性によるコンピュータ
ウィルス感染
© 2013 Microsoft Corporation. All rights reserved.
問題発生時の
有償サポート
問題発生時に
サポートが
受けられない
他メーカーの
製品サポート
他メーカーから
サポートが
提供されない
こんな誤解していませんか?
サポートが終了しても、
まだまだ使えるでしょ?
ネットワークに接続して利用することは、
非常に危険です。セキュリティ更新プログラムの提供が
終了し、脆弱性が飛躍的に向上するため、
悪意をもった攻撃者の格好の的となるためです
漏えいして困るような
機密情報は持っていない
から大丈夫
メールのアドレス帳にある取引先の連絡先なども重要な機
密情報です。また、自社のPCが踏み台となって、取引先
にウイルスを勝手に送り付けることもあります
ウィルス対策ソフトが
入っているから問題ない
Windows XP発売同時(2001年)と比較すると、
セキュリティ上の脅威は飛躍的に高度化し、
標的型攻撃が主流となり、全体的なマルウェア対策
だけでは対処できなくなってきております
マイクロソフト サポートライフサイクル ポリシー
サポート ライフサイクル ポリシーは 2002 年 10 月 17 日 (日本時間) に日本市場に正式導入されました。店頭あるいは
ボリューム ライセンス プログラムを通じて販売されている現行主要製品、および今後リリースされる新製品が対象となります。
サポート ライフサイクルのフェーズ
エクステンデド サポート(延長サポート)
メインストリームサポート
 サポート期間
 サポート期間
・製品発売から5年
いずれか長い方
・後継製品の発売から2年
 サポート内容
・ セキュリティ更新プログラム
・ その他の修正プログラム
・ 有償 / 無償 サポート
・メインストリームサポート終了から5年
・2番目の後継製品の発売から2年
 サポート内容
・セキュリティ更新プログラム
・有償サポート
いずれか長い方
Windows XP のサポート ライフサイクル
Windows XP
発売
Windows Vista
発売
メインストリーム
サポート終了
Windows 7
発売
Windows 8
発売
12.5
年
7.5
年
2001年10月
© 2013 Microsoft Corporation. All rights reserved.
2007年1月
2009年4月
エクテンデド
サポート終了
2009年10月
2012年10月
2014年4月
サポートの終了に伴う影響(例)
サポート終了にともなう影響(例)
「ゼロデイ攻撃」の激増が予想される
攻撃者が脆弱性を発見した後に、問題が広く公表される前に攻撃コードを仕込み、
メーカーが対応する前に被害を発生させる潜伏型の攻撃
Windows XP および Office2003 に新しい脆弱性や攻撃が発見されても、
対応するセキュリティパッチはリリースされなくなります
- それ以降発見された脆弱性は、すべて「ゼロデイ攻撃」が可能な状態になります
- 実例:CVE-2010-2568
1
攻撃者が脆弱性を発見し
攻撃コードを作成
“Stuxnet” が利用し知られるようになった脆弱性。2011年第二四半期のOSへの攻撃は前四半期の3倍程度に急増
2
メーカーのパッチが
反映されるまで感染が拡大
3
脆弱性をメーカーが
認知してパッチをリリース
CVE (Common Vulnerabilities and Exposures) とは?
ぜい弱性やセキュリティにかかわる事象を説明するための名前や用語を標準化し,辞書を作成するプロジェクト。用語を統一することで,ぜい弱性データベースや
ツールなどのシェアを容易にする。米MITRE社が業界の支援を受け運営している。
サポートの終了に伴う影響(例)
サポート終了にともなう影響(例)
注意深いユーザーも騙される「標的型攻撃」
「数うちゃあたる」型の攻撃は、注意すれば見破り攻撃を未然に防ぐことも比較的容易だが、
「標的型攻撃」は、ターゲットのことを十分知り尽くした攻撃者が洗練された攻撃を
個別に用意するため見破ることが困難
経済産業省の調査によると近年標的型攻撃を経験した企業は急速に増えており、
2011年の調査では実に3分の1の企業が標的型攻撃を経験したと報告
標的型攻撃に実際に利用された脆弱性は Adobe Reader, Flash Player や MS Word など
日本の組織から報告された実際の標的型攻撃の例
①
②
③
④
⑤
⑥
最初に、官公庁や公的機関を詐称して、実行形式のウイルス
を添付した標的型攻撃メールが 2 通届いた。
不審なメールと判断した受信者はメールの添付ファイルを開
かず、被害に遭わなかった。
連絡を受けた管理部門が添付ファイルを調べると、キーロ
ガー機能を持つウイルスと判明した。
管理部門より、①の標的型攻撃メールに関する注意喚起をテ
キスト本文のみのメールで、海外拠点を含めた幹部職員約
150 名に送った。
約 2 時間後に、④の注意喚起メールを加工して、ウイルスを
埋め込んだ PDF ファイルを添付した標的型攻撃メールが同じ
150 名に届いた。
正規の注意喚起メールと信じた約10名の受信者が添付ファイ
ルを開き感染してしまった。
2011年8月5日 経済産業省 「サイバーセキュリティと経済 研究会 報告書 中間とりまとめ 」より
サポートの終了に伴う影響(例)
サポート終了にともなう影響(例)
セキュリティ被害のコストは「移行コストよりも高くつく」
• 日本ネットワークセキュリティ協会の調査結果では、
セキュリティ被害における
賠償額が一億円を上回るケースも決して少なくない。
個人情報漏えい事故一件あたりの
想定損害賠償額
• 実際の損失の総額は、業務が中断することに
よる損失やシステムの復旧費用、社会的信頼を
失うことによる売上減少など、賠償額の
数倍に上ることも考えられます。
• 個人情報だけではなく、知的財産である情報が
攻撃の新たな標的となっています。
マカフィー社の調査によると、
知的財産流出の一社当たりの平均被害額は約4.8億円。
(経済産業省「サイバーセキュリティと経済 研究会 報告書 中間とりまとめ 」より)
• 大手企業と取引のある中小企業が狙われるケースも多い。
NPO 日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ
「2009年 情報セキュリティインシデントに関する 調査報告書 第 1.1 版」より
新しい Windows ほどマルウェア感染率は低い
その差14倍
32
•
•
•
Security
Response
Team
32
32
32
32
32
過去から一貫した傾向として、より新しいオペレーティング システム/サービスパックほど感染率は低い
Windows 7 が Vista より高いのは、攻撃側も市場規模に合わせて狙っていることが考えられる
Windows 8 の感染率は Windows XP SP3 と比較して 14 分の 1
※出典: マイクロソフト セキュリティ インテリジェンス レポート第14版
64
変化するセキュリティの脅威への対応
2002 年~
2004 年~
標的型ボットネットとサイバー犯罪
Windows XP時代の対応
現実化したサイバー攻撃
Windows Vista/Office 2007 以降の対応
標的型攻撃への備え
ファイアウォール
初期化
新しいアカウント
管理
ホワイトリスト化
更なる攻撃抑止
更新プログラム
自動化
攻撃を受けにくい
ファイル形式
システムとアプリ
ケーションの分離
アプリケーションの
実行環境の分離独立
© 2013 Microsoft Corporation. All rights reserved.
XP EOS 移行支援施策
PRを通じた警告
移行に際の必要な情報
移行を促進するキャンペーン
金
利
0%
+
関連サイト
■Windows XP、Office 2003 サポート終了の重要なお知らせ
http://www.microsoft.com/jajp/windows/lifecycle/xp_eos.aspx