アプリケーションレベルの脆弱性
また同氏は、セキュリティの懸念がOSだけにとどまらないという点を指摘している。Windows XPがセキュアであったとしても、アプリケーションレベルの脆弱性が存在する可能性もあるのだ。
同氏は「これはサポートを終了するOSの話にとどまらない。そのOS上で動作するほとんどすべてのアプリケーションもパッチが作成されなくなる。ベンダーにとって経済的な価値が無くなるためだ」と述べている。
「Microsoftがサポートを終了すれば、アプリケーションベンダーも追随するだろう(まだサポートを終了していなければ)。MicrosoftがWindows XPのサポートを終了しているにもかかわらず、多くのベンダーがアップデートを提供し続けているという状況があったとしたら、私はきっと驚くだろう(あり得ないとまでは言わないが)。『Windows 95』向けの『Flash Player』がアップデートされているだろうか?そんな事実はないはずだ」(Ferguson氏)
また同氏は、特定企業に狙いを定めた攻撃が横行していた時代、攻撃者は企業に導入されているOSとアプリケーションの調査を下調べ作業の一環として行っていたという点を指摘している。
同氏は「(サポートの終了したOSを)使用し続ける場合、それは攻撃者にとって非常に攻めやすい対象となる。サポート終了後に発見された脆弱性はすべてゼロデイ攻撃の手段となるためだ」と述べている。
Windows XPを使い続けるうえでの方策
とは言うものの、サポート終了後にもWindows XPを使用し続けると決定しているのであれば、リスクを低減するためにできることがある。
同氏は「有能なセキュリティ責任者であれば『パッチが作成されないため、使用を続けるべきではない』と忠告するだろう。しかし、企業としてWindows XPを使い続ける必要がある場合(コスト的な問題のため、または特定アプリケーションとの互換性維持のため、さらにはハードウェアが特殊なものであるといった理由も含めて)、できることがあると伝えておくのは重要だと考えている」と述べている。
「レガシーシステムを使い続けられるようにするために採用できるテクノロジがいくつかある。Windows XPは『Windows NT』や『Windows 2000』のようなレガシーシステムになろうとしている。おそらく最も重要なテクノロジはホストベースの侵入防止技術だろう。というのも、これによって実質的に、サポートが終了した環境に対して仮想のパッチを適用できるようになるためだ」と同氏は述べている。
「これにより脆弱性の存在を認識できるようになるとともに、パッチが提供されなかったとしてもその脆弱性を突く攻撃を難しく、あるいは阻止できるようになる。このためWindows XPを使い続けるのであれば、ホストベースの侵入防止システムといった攻撃抑止技術について調査する必要がある」(Ferguson氏)