独立行政法人情報処理推進機構(IPA)は7月8日、2015年7月15日にサポートが終了する「Windows Server 2003」のユーザー企業に向けてサポートが継続しているOSへのバージョンアップを呼びかける注意喚起を発表した。
OSのサポートが終了すると、新たな脆弱性が発見されたとしても修正プログラムが提供されなくなり、脆弱性を悪用した攻撃に遭う可能性が高まる。攻撃による被害を防ぐためには、サポートが終了していないOSに移行する必要がある。Windows Server 2003については、2012年7月~2014年6月の2年間に231件の脆弱性が公表されており、そのうち170件が深刻度の高い「レベルIII」とされている(図)。
図:2012年7月~2014年6月の2年間に発見されたWindows Server 2003が影響を受ける脆弱性の深刻度割合(IPA提供)
サーバOSの脆弱性を悪用した攻撃に遭った場合、さまざまな被害が生じる可能性がある。
マルウェアの感染でシステムのネットワーク負荷増大や性能低下を招き、システムの停止を引き起こす可能性もある。性能の低下やシステムの停止は業務効率の低下や業務停止につながる。
2008年に流行した「Conficker」と呼ばれるマルウェアは脆弱性を悪用して、自己増殖で感染を拡大するもので、感染拡大時に組織のシステムに大量の通信を発生させ、ネットワークを麻痺させた。
脆弱性が悪用されると、一般ユーザー権限から管理者権限へと権限が昇格され、本来アクセスが許可されないファイルにもアクセスされてしまい、例えば組織の内部者による不正持ち出しも可能となる。
標的型攻撃で侵入を許してしまうと、機密情報が外部の攻撃者の手に渡ることも考えられる。その結果、企業や組織の信用や競争力が低下するだけでなく、取引先などに被害が及ぶ可能性がある。
IPAでは、被害を防ぐため、組織内でWindows Server 2003の利用有無とその用途を確認したうえ、利用が確認された場合には速やかにサポートが継続しているOS、具体的には、2020年1月15日までの「Windows Server 2008 R2」、2023年1月11日までの「Windows Server 2012 R2」への移行が必要だと呼び掛けている。
サーバOSは長期間使用することが多いため、導入時からサポート期間を考慮しておく必要がある。移行では人的資源や経済的資源などさまざまなな制約があるが、被害の影響は事業継続の危機に直結しかねないことから、可能な限り早期に計画的な移行の実施が求められるとした。