プレスリリース 2015 年 4 月 14 日 独立行政法人情報処理推進機構 「3 か月後に控えた Windows Server 2003 のサポート終了に関する注意喚起」 ~組織内部に設置されたサーバーも漏れなく移行を~ IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2015 年 7 月 15 日(日本時間)にサ ポートが終了する日本マイクロソフトの「Windows Server 2003」について、この OS を利用している 企業・組織に対し、サポートが継続している OS へのバージョンアップ実施を呼びかけるため、サポー ト終了が 3 ヶ月後に迫る本日、改めて注意を喚起することとしました。 2015 年 7 月 15 日に日本マイクロソフト社 (以下、 マイクロソフト) が提供しているOS 「Windows Server 2003」のサポートが終了します(*1)。OSのサポート終了後は、新たな脆弱性が発見されても修正プログ ラムが提供されないため、脆弱性を悪用した攻撃を受け、「サーバーが乗っ取られる」「業務が停止する」 「機密情報が漏洩する」などの被害に遭う可能性があります。また、脆弱性は昨今問題となっている内部 不正への悪用も懸念されるため、企業・組織のリスク回避の観点から、 「Windows Server 2003」を利用 するシステムは後継システムへの移行が求められます。 いまだ発見される「Windows Server 2003」の脆弱性 IPAが運営する脆弱性対策情報データベースJVN iPedia(*2)には、「Windows Server 2003」の脆弱性 対策情報が 2014 年度(2014 年 4 月から 2015 年 3 月)49 件登録されています(図 1)。このように、 「Windows Server 2003」は発売から 10 年以上経過した現在でも脆弱性が発見されており、サポート終 了後においても引き続き発見される懸念があります。しかし、サポート終了後には修正パッチは提供され る予定はありません。 登録件数 18 16 14 12 10 8 6 4 2 0 17 7 1 1 2 2 3 0 3 5 7 1 図 1. 2014 年度 Windows Server 2003 脆弱性対策情報の JVN iPedia 登録件数推移 (*1) マイクロソフトは以下の特設ページで移行を呼びかけている。 http://www.microsoft.com/ja-jp/server-cloud/local/products/windows-server-2012-r2/migration/campaign.aspx (*2) 「脆弱性対策情報データベース JVN iPedia(http://jvndb.jvn.jp)」は、世界中で公表されるソフトウェア製品の脆弱性対策情報をシス テム管理者や開発者が脆弱性対策のために参照できるデータベース。 -1- 想定される脆弱性の悪用による被害 脆弱性が悪用されると、ファイルサーバーやリモートデスクトップ用のターミナルサーバーなど、企 業・組織内部の閉じた環境に設置したサーバーであっても「権限昇格による機密情報の閲覧・窃取」「デ ータやシステムの破壊」の可能性があります。実際、IPAの調査(*3)で“セキュリティパッチをほとんど適 用していない” と回答があった割合は、「外部サーバーには 6.3%」「内部サーバーにおいては 16.8%」 という結果があり、自組織内部のサーバーへの油断が垣間見られます。その他、ウェブサーバーなどイン ターネットに公開されているサーバーは、「ウェブの改ざん」「データやシステムの破壊」「別の攻撃の 踏み台に悪用」の可能性があります。 ソフトウェアのライフサイクルを意識した計画的なシステム運用を ソフトウェアの開発元は、製品計画の一環でサポート期間やサポート終了日を事前に示している場合が あります(*4)。企業・組織の管理者は自組織のシステムに使用しているソフトウェアのライフサイクルを 常に念頭に、安全な運用の維持を心掛けておく必要があります。サポート終了がきっかけで直ちに被害に 遭うわけではありませんが、事業へのリスクを回避するために、いまからでも移行計画を立案し、後継シ ステムへ可能な限り早く移行させることが望まれます。 IPA では以下のウェブページを 2014 年 7 月より公開していますので参照してください。 特集コンテンツ「Windows Server 2003 のサポート終了について」 https://www.ipa.go.jp/security/announce/win2003_eos.html FAQ「よくある相談と回答(FAQ):Windows Server 2003 のサポート終了」 https://www.ipa.go.jp/security/anshin/faq/faq-win2003.html ■ 本件に関するお問い合わせ先 IPA 技術本部 セキュリティセンター 中西/土屋 Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: [email protected] ■ 報道関係からのお問い合わせ先 IPA 戦略企画部広報グループ 横山/白石 Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected] (*3) 2015 年 1 月 17 日発表 「2014 年度情報セキュリティ事象被害状況調査」報告書(http://www.ipa.go.jp/about/press/20150115.html) P60 「セキュリティパッチの適用」 マイクロソフトは、2004 年に改定したサポートライフサイクル(http://support.microsoft.com/lifecycle/?p1=10394)に従い、 Windows Server 2003 のサポート期間を 2015 年 7 月 15 日(日本時間)までと提示している。 (*4)
© Copyright 2024 ExpyDoc