IPAがWindows Server 2003サポート終了に注意喚起

IPA(独立行政法人情報処理推進機構)が、Windows Server 2003サポート終了に対してのリスク喚起を出していました。
「3か月後に控えたWindows Server 2003のサポート終了に関する注意喚起」：IPA 独立行政法人情報処理推進機構

同内容は、既に広く伝えられており、当ブログでも記載している事ではありますが、サポート終了のOSを使い続けるリスクとしては、下記に注意をすべきです。

いまだ発見される「Windows Server 2003」の脆弱性

つい先日、発見された「MS15-034(HTTP.sys の脆弱性により、リモートでコードが実行される )」では、実際にこの脆弱性を悪用した攻撃コードがネット上で配布になっており、これを用いられると未対策の対象サーバは、ブルースクリーンで強制終了という攻撃を受ける恐れがあるとの事。

記憶に新しいところでは、FREAK(SSL/TLSの実装に関する脆弱性)やPOODLE(SSL3.0の脆弱性)、Shellshock(GNU Bashの脆弱性)などクリティカルな脆弱性が発見され、都度その危険性がアナウンスされてきましたが、これから起こりうるこのような脆弱性に対して、「丸裸」でいる事を意味します。

図1. 2014年度 Windows Server 2003 脆弱性対策情報のJVN iPedia 登録件数推移(IPAサイトより)

上グラフは、IPAのサイトより転載したものですが、「Windows Server 2003」の脆弱性対策情報は、発売から10年以上経過した現在でも脆弱性が引き続き発見されており、サポート終了後においても継続して発見される懸念があり、さらにサポート終了後には修正パッチは提供される予定はありません。

ネットワークに繋がっていないから必要ないは誤り

外部ネットワークに繋がっていないから、脆弱性の対策は必要ないという意見もあり、実際まだマイグレーションが済んでいない企業様では強い意見だと思います。
これについても、IPAは

脆弱性が悪用されると、ファイルサーバーやリモートデスクトップ用のターミナルサーバーなど、企業・組織内部の閉じた環境に設置したサーバーであっても「権限昇格による機密情報の閲覧・窃取」「データやシステムの破壊」の可能性があります。実際、IPAの調査で“セキュリティパッチをほとんど適用していない” と回答があった割合は、「外部サーバーには6.3%」「内部サーバーにおいては16.8%」という結果があり、自組織内部のサーバーへの油断が垣間見られます。その他、ウェブサーバーなどインターネットに公開されているサーバーは、「ウェブの改ざん」「データやシステムの破壊」「別の攻撃の踏み台に悪用」の可能性があります。

と、注意喚起をしています。

脆弱性を破る攻撃は、外部ネットワークだけではありません。

セキュリティを脅かす攻撃は、日々行われており、OSのサポートによるアップデートはこれらを防ぐための最良かつ最低の対策です。

これらを放棄すると攻撃に対して「丸裸」でのサーバ運用となり、安全な継続運用のために大きなリスクを常に背負う事となります。

Windows Server 2003 サポート終了まで、あと85日(4/20現在)。

未対策のシステム担当者の方はぜひ、当店の該当ページをご覧ください。