Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は?

ITmedia NEWS / 2019年5月23日 7時5分

写真

脆弱性(CVE-2019-0708)に関する発表=MicrosoftのWebサイトより

 セキュリティ対策の基本の1つは「最新のパッチを適用すること」です。不正アクセスの多くは、OSやアプリケーションに存在する脆弱性を突いて行われます。従って、最新のパッチを適用して脆弱性を修正すればリスクは減らせます。

 ということで、多くのソフトウェアベンダーやオープンソースソフトウェア開発コミュニティーは、何らかの脆弱性が発覚したり、指摘されたりすると、それらを修正するパッチや新バージョンをリリースしています。中でも米Microsoftは毎月第2火曜日(日本時間では水曜日)に、定期的にセキュリティ更新プログラムを提供してきました。

 ただ、2019年5月の更新プログラムには、ちょっと驚くことがありました。脆弱性の影響を受け、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムが用意されたことです。

 Windows XPは14年4月、Windows Server 2003は15年7月と、数年前にサポートが終了しています。サポート終了とは、それ以降はたとえ脆弱性が発覚しても、修正プログラムは提供されず、攻撃のリスクにさらされることを意味します。今回は、その原則を破ったパッチ提供というわけです。

●繰り返される「例外措置」の背景

 この「例外措置」は、今回が初めてではありません。実は、サポートが終了した直後の14年5月に早速、Windows XP向けも含めた緊急アップデートが提供されたことがありました。またご記憶の方も多いでしょうが、ランサムウェア「WannaCry」が急激に拡散した17年5月にも、「極めて異例の手段」として、Windows XPやWindows Server 2003向けに、WannaCryが悪用するSMBv1の脆弱性を修正するプログラムを公開しました。

 そして今回のパッチ提供です。Microsoftは特例措置の理由を、「この脆弱性を悪用するマルウェアが開発されると、WannaCryのように脆弱な端末に感染が広がる可能性があるから」と説明しています。

 WannaCryであらためて認識された通り、ネットワークにつながっているだけで感染する「ワーム」のインパクトは甚大です。ひとたび感染が広がると、駆除したと思っても別の端末でまた感染が発覚して“モグラたたき”のような状態になり、完全に駆除するまでには大きな手間がかかります。19年に入っても、いまだにWannaCryの感染事例が報告されるほどです。Microsoftはおそらく、こうした対応の手間や影響の大きさを考えて「例外措置」の判断を下したのでしょう。

この記事に関連するニュース

トピックスRSS

ランキング