トレンドマイクロは18日、2014年4月にサポートが打ち切られる「Windows XP」を使い続けるリスクについて、同社公式ブログで言及した。
最大のリスクはWindows XPの脆弱性。「セキュリティ更新プログラムの停止」や「プログラム自体が古い」ことが、攻撃リスクの要因という。
要因の1つ、セキュリティ更新プログラムの停止については、未修正の脆弱性を狙った「ゼロデイ攻撃」のリスクを紹介。例えば11月27日に公開された「カーネル NDProxy の脆弱性(CVE-2013-5065)」を悪用したゼロデイ攻撃は、不正プログラムの特権昇格を狙ったもので、現状では該当の脆弱性に対処したアップデートが予定されるが、XPのサポート終了後は対策ができない。こうしたゼロデイ攻撃の事例は、2013年4月でサポートが終了したJava 6でも確認されているという。
また、ソフトウェアは新しいバージョンほど脆弱性対策がなされているとし、例としてInternet Explorerで任意のコードが実行される脆弱性(CVE-2013-3893)の事例を紹介した。この攻撃コードは、「Windows XP+IE8」もしくは「Windows7+IE8/9」という古い環境にのみ影響するという。
総務省は11月、地方自治体が使用するPCのうち、OSのアップグレードがサポート終了に間に合わないPCが26万台以上発生すると発表した。同社は「これほど多くのPCが古いOSのまま存在し続ける予測は初。攻撃者にとって、Windows XPは狙う価値が高いままサポート終了を迎える」として、今後高まるであろう脆弱性攻撃への対処法を「OSをアップデートすることが根本的解決」とした。
しかし、業務の都合などでタイムリミットまでにアップグレードできない場合は、「インターネット接続しないようにする」ことが最低限の対応とし、その上で脆弱性攻撃を緩和するセキュリティ対策製品も導入すべきだと結んでいる。
