ブログ記事『さらばXP、されどXP』 について

セキュリティクラスタ まとめのまとめ 2013年10月版:さらばXP、されどXP - @IT

米マイクロソフト社の基本ソフト「ウィンドウズXP」のサポートが来年4月で切「2014年問題」。

サポート切れのXPを使い続けることは「ヘルメットなしでバイクに乗る」と例えられるほど、サイバー攻撃の危険は高まるが、自治体の更新作業は遅れている。専門家は「住民情報を扱う自治体は、セキュリティー対策を講じる責任がある」と指摘している。

◆「たぶん大丈夫」
三重県四日市市の公用パソコンは約4000台。このうち、XPの後継ソフト「7」はわずか0・5%の20台。残りはXPのままだ。

更新のための予算約6億円は来年度予算で確保できる見込みだが、導入が始まるのは来年8月から。戸籍や住民票を扱う業務システムがXP専用で、システム交換が終わらないためだ。5か月近く、危険な状態が続くが、IT推進課職員は「サイバー攻撃はめったにあるものじゃないし、別に不安はない」とあっけらかんと話す。

知識不足から移行が遅れるケースもある。「本当にサポートが終わってしまうなんて、今年4月まで知らなかった」と嘆くのは、町の公用パソコンの8割にあたる235台がXPのままとなる熊本県芦北町の担当者だ。「もっと早く知っていれば、移行できた」とマイクロソフト社の周知不足を恨むが、実際には07年1月にはサポート終了が予告されていた。

自治体「攻撃めったにない」 (読売新聞) - Yahoo!ニュース

記事がすでに消えていますが・ω・ このニュース。

『サポート切れのXPを使い続けることは「ヘルメットなしでバイクに乗る」と例えられるほど、サイバー攻撃の危険は高まる』というのが、まず、セキュリティソフトを使わないという前提で考えた場合じゃないのかな。

実際、ここ最近のサイバー攻撃のほとんどが、OSの脆弱性をつくものではなく、Java といった Webサーバーソフトの脆弱性を中心とした欠陥から情報漏えいを起こしてるものがほとんどで、サポートの切れたOSを使い続けることが非常に危険であるという考え方自体が時代遅れだと思う ・ω・

サポートが切れた XPを使い続ける上で唯一非常に危険だと思われるのは、標準ブラウザの IE を利用することである。

サポートが切れたら、IEだけは封印してしまうことを勧める。(一応、有償サポートでIEのセキュリティパッチは出続けるので、それを入れることができるというのなら話は別だけど。現に Windows 2000の IE6のセキュリティアップデートは 2013年4月までリリースされた)

サポートが切れても、FlashPlayerや Firefox / Chrome / Java などのアップデートをしていて、セキュリティソフトのウィルス定義、攻撃対策の定義が最新なら、実際、それほど心配いらない、だが、実際セキュリティ意識の低い所は、こういった対策にも鈍いことが多い。

『OSのサポートが切れても、ネットワークの関連するコンポーネントの更新し、セキュリティソフトの契約も続くので不安はない』 ということなら、心配ないのだけど 『サイバー攻撃はめったにあるものじゃないし、別に不安はない』っていうのはセキュリティ意識が低いから出たセリフであって、恐らく周辺コンポーネントも古いものを使い続けてしまうのだろうと思うのだった。多分、こういうところは、最新のOSを使っていても、古い Java などを平気で使って情報漏えいを引き起こす ・ω・

たぶんXP端末が一番多く残るのは、金融と政府・自治体系。理由はIE6対応システムが多く、かつオフライン端末が多いため。金融はオンラインとオフライ
ンを厳密に区別しているから問題は起きにくいけど、一部政府系ではオンライン端末なのにXPを使い続ける可能性があり、ここは要ウォッチ案件。

とのことだけど、組み込み向けのセキュリティアップデートは  2019年1月8日まで提供される。ウォッチするなら、そのあと2024年にライフサポートが切れるまでの 5年間が重要になると思われる。

Windows 2000を使い続けている立場から言わせてもらうと、重要なのは3点。・ω・

・新しいOSはセキュリティのアップデートが頻繁に出るが、新しい機能によるセキュリティホールも実は多く未知の脆弱性が多い。既知の脆弱性は多くの場合、セキュリティソフトで防御する方法が確立されている。
・新しいOSはセキュリティ機能が豊富なので、ユーザーは少ない手間でメンテナンスをすればよい。サポートが切れたOSはその分、ユーザーはメンテナンスにコストをかける義務がある。コストをペイしたうえでセキュリティを確保してるのならそれほど心配はない。
・新しいOSを使っていても、古いインターネットコンポーネントを放置して使い続けるとリスクが格段に上がる(ブラウザーやJavaやFlash、インターネットコンポーネントのリーダーなど)それだったら、最新のインターネットコンポーネントの入った 古いOS使った方がまし。

IT推進課職員もおかしいけど、サポート切れOSのリスクを過大評価する人たちも何なのだろうね

#日本人は、自分と違う少数派を悪く評価する傾向がありますよね・ω・ (例:血液型による性格判断)

結論: 古いOSの方が多少リスクが高いことはちゃんと認めた上で万全の対策をして使いましょう・ω・
セキュリティ対策の手を抜きたいなら、おとなしくプラットフォームのアップデートをしましょう。
【多分大丈夫】とか言うのは無策であることの証明なので論外。

今更聞けないWindows 2000/XP の10つのセキュリティチェック
XPの今後を予想した記事が色々ひどい件について
XPのウィルス感染数がWindows 7の10倍である7つの理由
実はまだまだ終わらない Windows XP のサポート

おすすめ

12件のフィードバック

  1. Cocco より:

    上記Yahoo!ニュース、セキュリティに関するピント外れなツッコミよりも、
    全世界に向けて「三重県四日市市と熊本県芦北町はサイバー攻撃の標的に最適!」と
    わざわざ名指しで犯罪を煽るような内容だったのに驚きました。当時読んでて。
    セキュリティ知識だけでなくモラル的にもかなり程度の低い記者とデスクという印象です。
    これで讀賣新聞社がセキュリティ放置でクラックされたら失笑物なんですけどねー。

  2. Cocco より:

    上記Yahoo!ニュース、セキュリティに関するピント外れなツッコミよりも、
    全世界に向けて「三重県四日市市と熊本県芦北町はサイバー攻撃の標的に最適!」と
    わざわざ名指しで犯罪を煽るような内容だったのに驚きました。当時読んでて。
    セキュリティ知識だけでなくモラル的にもかなり程度の低い記者とデスクという印象です。
    これで讀賣新聞社がセキュリティ放置でクラックされたら失笑物なんですけどねー。

  3. まるまるに付ける薬 より:

    >サポート切れOSのリスクを過大評価する人たち
    素人相手にアレコレ吹き込む人が多いですからね。
    彼らの勉強不足が最も深刻な問題ですが、彼らに不誠実な対応をする人々も困ったものです。
    しかも困った事にこの手の方々は騙す方も騙される方も学が高くプライドも高いので、自分の無知とバカさ加減を認める事が出来ないんですよね。
    まァ、○○に付ける薬はないってことで。

  4. まるまるに付ける薬 より:

    >サポート切れOSのリスクを過大評価する人たち
    素人相手にアレコレ吹き込む人が多いですからね。
    彼らの勉強不足が最も深刻な問題ですが、彼らに不誠実な対応をする人々も困ったものです。
    しかも困った事にこの手の方々は騙す方も騙される方も学が高くプライドも高いので、自分の無知とバカさ加減を認める事が出来ないんですよね。
    まァ、○○に付ける薬はないってことで。

  5. アドウェア嫌いです より:

    こちらのHPを拝見してから、セキュリティ対策の仕方が明確に判りとても助かっています。(o^-^o)
    >対策をしないXPユーザー企業
    現状知るととゾッとします。
    PC本体に平気で書類貼るために「磁石」付けていたり…LANの接続しているプリンターを把握してなかったり。
    PCが弱力でHDの容量不足で公式アップデートしなかったり…上げると切りがないくらい怖い話です。
    セキュリティ対策以前にPCの知識不足がとても酷いように思います。

  6. アドウェア嫌いです より:

    こちらのHPを拝見してから、セキュリティ対策の仕方が明確に判りとても助かっています。(o^-^o)
    >対策をしないXPユーザー企業
    現状知るととゾッとします。
    PC本体に平気で書類貼るために「磁石」付けていたり…LANの接続しているプリンターを把握してなかったり。
    PCが弱力でHDの容量不足で公式アップデートしなかったり…上げると切りがないくらい怖い話です。
    セキュリティ対策以前にPCの知識不足がとても酷いように思います。

  7. ugambow より:

    今、某ウジTVにてやっていたニュースで思い出したので書き込み。 
    ニュース内容は複合機のデータが丸見えで流出しているという内容で、某海外サイトで閲覧可能な状態だったとのこと。
    そのサイトではどの国にあるどの複合機がどういう状態なのか等がわかるようにしてあるということで、流出している複合機はこの記事に記載の担当者のコメントそのままな感じに初期設定で利用しているがために簡単にアクセスされてしまって中に残っていたデータが流失していたりするそう。
    機能的に、ネットワークに繋がっていて、PCから管理できるらしく、その漏れた情報も管理画面辺りで見えるっぽいので、その時点で対策が必要だとは思わなかったのだろうかと思ったり。
    東大ですら流出していたそうで、コンピュータ系とかの学部とかありそうだし(=そこらへんを分かっている人がいるはずだし、メンテナンスとかを外部委託していたとしても学校内にもサーバーをメンテナンスできるレベルの人はいると思う)、一番すごい大学ってイメージなところだというのにそんな対策をしていなかったのかと思うと・・・・
    XPの前に複合機を何とかしないといけないのでは・・・・・・(XPもあのざまでは同じだが)

  8. ugambow より:

    今、某ウジTVにてやっていたニュースで思い出したので書き込み。 
    ニュース内容は複合機のデータが丸見えで流出しているという内容で、某海外サイトで閲覧可能な状態だったとのこと。
    そのサイトではどの国にあるどの複合機がどういう状態なのか等がわかるようにしてあるということで、流出している複合機はこの記事に記載の担当者のコメントそのままな感じに初期設定で利用しているがために簡単にアクセスされてしまって中に残っていたデータが流失していたりするそう。
    機能的に、ネットワークに繋がっていて、PCから管理できるらしく、その漏れた情報も管理画面辺りで見えるっぽいので、その時点で対策が必要だとは思わなかったのだろうかと思ったり。
    東大ですら流出していたそうで、コンピュータ系とかの学部とかありそうだし(=そこらへんを分かっている人がいるはずだし、メンテナンスとかを外部委託していたとしても学校内にもサーバーをメンテナンスできるレベルの人はいると思う)、一番すごい大学ってイメージなところだというのにそんな対策をしていなかったのかと思うと・・・・
    XPの前に複合機を何とかしないといけないのでは・・・・・・(XPもあのざまでは同じだが)

  9. コテラン より:

    問題は、WindowsVista、Windows7、Windows8におけるアップデート情報を元に、XPの脆弱性を推測できるという点だと思います。
    すなわち、OSの脆弱性は間接的に公開されつつ、対策は取られないという状況が発生しうるわけで。

  10. コテラン より:

    問題は、WindowsVista、Windows7、Windows8におけるアップデート情報を元に、XPの脆弱性を推測できるという点だと思います。
    すなわち、OSの脆弱性は間接的に公開されつつ、対策は取られないという状況が発生しうるわけで。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です