IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、2014年4月9日にサポートが終了するWindows XPとOffice 2003について、その危険性や対策などを紹介している。本稿では、その一部を紹介しよう。

サポート終了と想定されるリスク

サポートが終了すると、脆弱性などのセキュリティ上問題となる修正が行われなくなる。最近の調査では、OSやアプリケーションの脆弱性を見つけることを専門とする組織も存在しているとのことだ(こうして発見した脆弱性は、攻撃者に売られる)。4月9日以降は、脆弱性が発見されても、図1のように放置されてしまう。

図1 サポート終了後のイメージ(今月の呼びかけより引用)

7や8などは当然ながら、サポートが継続する。ここで問題となるのは、7や8でXPでも同じ脆弱性が発見された場合である。7や8では修正プログラムが配布されるが、XPでは配布されない。これは「XPには未処理の脆弱性がありますよ!」と公言しているようなものである。攻撃者にとっては、何の労もなく脆弱性を教えてもらっているようなものだ。このようなケースはそれほど多くはないかもしれない。しかし、より危険な状態になることはわかってもらえるだろう。考えられる脅威には、以下がある。

  • ウイルス感染の危険性が高まる
  • PCに不正アクセスされる可能性が高まる

ウイルス感染からは、以下のような被害が想定される。

  • 銀行口座のIDとパスワードが流出し、なりすましが行われ、勝手に送金される
  • オンラインゲームのIDとパスワードが流出し、アイテムやゲーム内通貨が盗難
  • PCが知らぬ間に偽セキュリティ対策ソフト型ウイルスに感染
  • PC内の画像など私的データが、インターネット上に漏えい
  • PCから勝手に迷惑メールが送信
  • 遠隔操作によって、自分のPCから勝手に掲示板に書き込みされる

不正アクセスからは、以下のような被害が想定される。

  • PC内の情報を盗み見られる
  • 遠隔操作によって、自分のPCから他のコンピュータへの攻撃が行われる。結果、被害者から加害者になる可能性がある

よくある相談から

そして、IPAではよくある相談事例を紹介している。筆者も、このようなことを聞かれることが多い。改めてであるが、再確認してほしい。まず、最初の相談である。

セキュリティ対策ソフトがあれば、Windows XPを使い続けても大丈夫ですよね?
もし、Windows XPに脆弱性があっても、セキュリティ対策ソフトが守ってくれますよね?

答えはいずれも「NO」である。PCのセキュリティ対策には、次の2点が求められる。

  1. OSとアプリの脆弱性の解消
  2. セキュリティ対策ソフトを、つねに最新の状態で使うこと

この両方が必要となる。ところが、Windows XPを使い続けるということは、(1)の対策をしないことになる。つまり、対策としては不十分なのだ。次の相談は、以下である。

ホームページを見るくらいで、特別なことはしていない。それでも対策する必要はありますか?

2013年に非常に多かった事例として、Webサイトの改ざんがあげられる。有名サイトや大手企業なども例外ではない。改ざんの目的はいくつかあるが、悪質度が高いものに、ドライブバイダウンロードがある。これは、そのページを閲覧しているユーザーのPCに存在する脆弱性を悪用し、Webサイトを閲覧しただけでウイルスを感染させるものだ。XPを使い続ける(つまり脆弱性を放置した状態)ということは、ホームページを見るだけでも危険となる。最後の相談は、以下である。

自分のPCに盗まれて困るような重要なデータは保存していない。別に他人に迷惑をかけるわけではないから、Windows XPのままでも大丈夫ですよね?

この相談もよくあるものだ。セキュリティ対策ソフトをインストールしていないユーザーがこのような理由をあげることも多い。2012年に発生した遠隔操作ウイルス(iesys.exe)を覚えている方もいるだろう。このウイルスに感染したPCから、掲示板への脅迫文書き込みや脅迫メールが送られた事件である。無実のユーザーが誤認逮捕され、大きな社会問題となった。一方、書き込みされた掲示板は脅迫メールの送り先では、当然のことながら多大な迷惑や被害がもたらされた。結果的に、他人に迷惑をかけてしまう。

さらに、HPの改ざんなどでも、攻撃者は直接改ざんを行うようなことはしない。いくつもPCを経由して行われる(踏み台と呼ばれる)。理由は、攻撃者が見つかるのを防ぐためだ。そこで使われるのは、セキュリティのあまいPCである。自分のPCはそれほど重要ではなかったとしても、踏み台に利用されることで、加害者になることも十分考えられる。

今月の呼びかけではこれ以外にも、Windows XP、Office 2003がインストールされているかを判別する方法(図2)、乗り換え方法(図3)なども紹介している。

図2 Windows XPの確認(今月の呼びかけより引用)

図3 乗り換え方法(今月の呼びかけより引用)

ぜひ、参考にしてほしい。最後に、どうしてもWindows XPやOffice 2003を使い続ける場合には、外部とデータのやり取りをいっさい行わないようにすれば安全を維持できるとしている。これは、インターネットだけでなく、LANにも接続しない、USBメモリなども利用しないことが必要となる。かなりの制限となるが、使い続けるならばこのくらいは必要だろう。