Windows XP / Office 2003 サポート終了 2014 年 4月 9日（日本時間）サポート終了後は製品の安全な利用に必要なサポートが受けられなくなります。セキュリティ更新プログラム脆弱性によるコンピュータウィルス感染 © 2013 Microsoft Corporation. All rights reserved. 問題発生時の有償サポート問題発生時にサポートが受けられない他メーカーの製品サポート他メーカーからサポートが提供されないこんな誤解していませんか？サポートが終了しても、まだまだ使えるでしょ？ネットワークに接続して利用することは、非常に危険です。セキュリティ更新プログラムの提供が終了し、脆弱性が飛躍的に向上するため、悪意をもった攻撃者の格好の的となるためです漏えいして困るような機密情報は持っていないから大丈夫メールのアドレス帳にある取引先の連絡先なども重要な機密情報です。また、自社のPCが踏み台となって、取引先にウイルスを勝手に送り付けることもありますウィルス対策ソフトが入っているから問題ない Windows XP発売同時（2001年）と比較すると、セキュリティ上の脅威は飛躍的に高度化し、標的型攻撃が主流となり、全体的なマルウェア対策だけでは対処できなくなってきておりますマイクロソフトサポートライフサイクルポリシーサポートライフサイクルポリシーは 2002 年 10 月 17 日 (日本時間) に日本市場に正式導入されました。店頭あるいはボリュームライセンスプログラムを通じて販売されている現行主要製品、および今後リリースされる新製品が対象となります。サポートライフサイクルのフェーズエクステンデドサポート（延長サポート）メインストリームサポート  サポート期間  サポート期間・製品発売から5年いずれか長い方・後継製品の発売から2年  サポート内容・セキュリティ更新プログラム・その他の修正プログラム・有償 / 無償サポート・メインストリームサポート終了から5年・2番目の後継製品の発売から2年  サポート内容・セキュリティ更新プログラム・有償サポートいずれか長い方 Windows XP のサポートライフサイクル Windows XP 発売 Windows Vista 発売メインストリームサポート終了 Windows 7 発売 Windows 8 発売 12.5 年 7.5 年 2001年10月 © 2013 Microsoft Corporation. All rights reserved. 2007年1月 2009年4月エクテンデドサポート終了 2009年10月 2012年10月 2014年4月サポートの終了に伴う影響（例）サポート終了にともなう影響（例）「ゼロデイ攻撃」の激増が予想される攻撃者が脆弱性を発見した後に、問題が広く公表される前に攻撃コードを仕込み、メーカーが対応する前に被害を発生させる潜伏型の攻撃 Windows XP および Office2003 に新しい脆弱性や攻撃が発見されても、対応するセキュリティパッチはリリースされなくなります - それ以降発見された脆弱性は、すべて「ゼロデイ攻撃」が可能な状態になります - 実例：CVE-2010-2568 1 攻撃者が脆弱性を発見し攻撃コードを作成 “Stuxnet” が利用し知られるようになった脆弱性。2011年第二四半期のOSへの攻撃は前四半期の3倍程度に急増 2 メーカーのパッチが反映されるまで感染が拡大 3 脆弱性をメーカーが認知してパッチをリリース CVE (Common Vulnerabilities and Exposures) とは？ぜい弱性やセキュリティにかかわる事象を説明するための名前や用語を標準化し，辞書を作成するプロジェクト。用語を統一することで，ぜい弱性データベースやツールなどのシェアを容易にする。米MITRE社が業界の支援を受け運営している。サポートの終了に伴う影響（例）サポート終了にともなう影響（例）注意深いユーザーも騙される「標的型攻撃」「数うちゃあたる」型の攻撃は、注意すれば見破り攻撃を未然に防ぐことも比較的容易だが、「標的型攻撃」は、ターゲットのことを十分知り尽くした攻撃者が洗練された攻撃を個別に用意するため見破ることが困難経済産業省の調査によると近年標的型攻撃を経験した企業は急速に増えており、 2011年の調査では実に3分の1の企業が標的型攻撃を経験したと報告標的型攻撃に実際に利用された脆弱性は Adobe Reader, Flash Player や MS Word など日本の組織から報告された実際の標的型攻撃の例 ① ② ③ ④ ⑤ ⑥ 最初に、官公庁や公的機関を詐称して、実行形式のウイルスを添付した標的型攻撃メールが 2 通届いた。不審なメールと判断した受信者はメールの添付ファイルを開かず、被害に遭わなかった。連絡を受けた管理部門が添付ファイルを調べると、キーロガー機能を持つウイルスと判明した。管理部門より、①の標的型攻撃メールに関する注意喚起をテキスト本文のみのメールで、海外拠点を含めた幹部職員約 150 名に送った。約 2 時間後に、④の注意喚起メールを加工して、ウイルスを埋め込んだ PDF ファイルを添付した標的型攻撃メールが同じ 150 名に届いた。正規の注意喚起メールと信じた約10名の受信者が添付ファイルを開き感染してしまった。 2011年8月5日経済産業省「サイバーセキュリティと経済研究会報告書中間とりまとめ」よりサポートの終了に伴う影響（例）サポート終了にともなう影響（例）セキュリティ被害のコストは「移行コストよりも高くつく」 • 日本ネットワークセキュリティ協会の調査結果では、セキュリティ被害における賠償額が一億円を上回るケースも決して少なくない。個人情報漏えい事故一件あたりの想定損害賠償額 • 実際の損失の総額は、業務が中断することによる損失やシステムの復旧費用、社会的信頼を失うことによる売上減少など、賠償額の数倍に上ることも考えられます。 • 個人情報だけではなく、知的財産である情報が攻撃の新たな標的となっています。マカフィー社の調査によると、知的財産流出の一社当たりの平均被害額は約4.8億円。（経済産業省「サイバーセキュリティと経済研究会報告書中間とりまとめ」より） • 大手企業と取引のある中小企業が狙われるケースも多い。 NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ「２００９年情報セキュリティインシデントに関する調査報告書第 1.1 版」より新しい Windows ほどマルウェア感染率は低いその差14倍 32 • • • Security Response Team 32 32 32 32 32 過去から一貫した傾向として、より新しいオペレーティングシステム/サービスパックほど感染率は低い Windows 7 が Vista より高いのは、攻撃側も市場規模に合わせて狙っていることが考えられる Windows 8 の感染率は Windows XP SP3 と比較して 14 分の 1 ※出典: マイクロソフトセキュリティインテリジェンスレポート第14版 64 変化するセキュリティの脅威への対応 2002 年～ 2004 年～標的型ボットネットとサイバー犯罪 Windows XP時代の対応現実化したサイバー攻撃 Windows Vista/Office 2007 以降の対応標的型攻撃への備えファイアウォール初期化新しいアカウント管理ホワイトリスト化更なる攻撃抑止更新プログラム自動化攻撃を受けにくいファイル形式システムとアプリケーションの分離アプリケーションの実行環境の分離独立 © 2013 Microsoft Corporation. All rights reserved. XP EOS 移行支援施策 PRを通じた警告移行に際の必要な情報移行を促進するキャンペーン金利 0% ＋関連サイト ■Windows XP、Office 2003 サポート終了の重要なお知らせ http://www.microsoft.com/jajp/windows/lifecycle/xp_eos.aspx