独立行政法人情報処理推進機構(IPA)は5月14日、サポートが終了したWindows XP、Office 2003、Internet Explorer 6について、サポートが終了して初めての定期セキュリティ更新プログラム提供日を迎え、改めて注意喚起を促すリリースを発表した。
これらのソフトウェアでサポート終了までの半年間に発見された脆弱性は、深刻度の最も高い「レベルIII」が大半であり、今後深刻な脆弱性が発見されると、攻撃者に悪用され深刻な事態に陥る危険性があるとしている。
サポート終了直前の6ヶ月間に公表された脆弱性の深刻度別割合
サポート終了月までの半年間(2013年11月から2014年4月)に公表された脆弱性は、3製品合わせて49件(Windows XP:17件、Office 2003:10件、IE6:22件)、うち38件(78%)が最も深刻度の高いレベルIIIとなっている。
今後、新たに発見された脆弱性は対策方法がないまま危険な状態で放置され、しかもその件数は蓄積されていくこととなる。サポート終了した製品を使い続けることは、新たな脆弱性を突いたマルウェアの感染や攻撃者からの侵入を許しやすい無防備な状態を放置することとも言える。
なお、サポート終了後の4月26日、Internet Explorerの脆弱性を突いたゼロデイ攻撃が観測され、後日マイクロソフトから更新プログラムが提供された。このときにはWindows XPのIE6にも更新プログラムが提供されているが、マイクロソフトではこの対応を「例外」としており、今後も同様の対応を期待できない。
一方、総務省の発表によれば4月1日時点で地方公共団体が利用しているパソコンの13%(約26万5000台)にWindows XPが搭載されているとのことで、一般企業でも同様に、利用を継続している例が相当数存在すると考えられる。IPAでは、深刻な被害が発生する前に、サポートの継続している製品への速やかな移行が必要だとしている。
また、Windows Server 2003についても、サポート終了が2015年7月14日に迫っている。こちらはサーバOSであるだけに、より計画的な移行が求められる。
IPAは、「システムの構築、運用管理、セキュリティ維持のコストに加え、用いているソフトウェアのサポート期限も考慮に入れた後継製品への移行など、トータルなシステム投資計画が極めて重要となります。長期的視点に立った適切な予算を組み、よりセキュアなシステムの利用が実現、維持されることを推奨します」とコメントしている。
