サポート切れのXP 「もったいない」が危ないわけ
2001年の登場以来、長期にわたり使われてきたウィンドウズXPの寿命が尽きようとしている。異例の長寿を誇ったXPは、いまだに多くの人が使っているが、マイクロソフトは2014年4月9日をもってXPのサポートを終了する(図1)。
マイクロソフトのサポートがなくなるからといって、XPパソコンが動かなくなるわけではない。だが、マイクロソフトはサポートがなくなったXPの継続使用にはリスクが伴うと警告している。
問題あっても修正されず
ただ「危険だ、危険だ」と叫ばれても、どんな危険があるのか理解しないと納得できないし、正しい対処もできない。そもそも、マイクロソフトの「サポート」の中身は何だろうか。
現在、同社のサポート対象になっているのはウィンドウズXPのサービスパック3(SP3)。「延長サポート」と呼ばれる段階にあり、セキュリティーの問題を修正するプログラムと技術情報の提供のほかは、企業向け有償サポートがあるだけ。個人ユーザーにとっては、セキュリティー更新プログラムだけが提供されている状態だと考えてよい。それが4月9日を最後に終了する。
それだけなら使い続けるのに不便はないと思うユーザーもいるだろう。しかし、セキュリティー更新プログラムが何をしてきたか知れば、考えは変わるはずだ。
XPに限らず、OS(基本ソフト)には「脆弱性(ぜいじゃくせい)」と呼ばれる弱点が必ずある。コンピューターウイルスなど悪意のあるプログラムの多くは脆弱性を利用して侵入し、情報を盗み出したりパソコンを遠隔操作したりする。
マイクロソフトは脆弱性が見つかるたびに警告を出し、それを修正するプログラムを「ウィンドウズアップデート」を通じて提供してきた。住宅に例えれば、脆弱性は壊れた窓で、それを見つけた泥棒は容易に侵入できる。ウィンドウズアップデートは窓を修繕して穴をふさぐ役目を果たしてきた(図2)。
発見される脆弱性は年300件
セキュリティー更新プログラムが提供されなくなれば、XPに新たな脆弱性が見つかっても放置される。それなら「新しい脆弱性が見つかるまでは安心して使える」と思うかもしれない。だがそれも大きな間違いだ。
XPの場合、これまで年間で300件以上の脆弱性が見つかり、セキュリティー関連の更新は累計で518回にも上るという。しかも、4月9日以降は新たな脆弱性が見つかってもマイクロソフトからは情報が提供されないため、ユーザーは危険が迫っていることに気が付かない可能性がある(図3右上)。
日本マイクロソフトチーフセキュリティアドバイザーの高橋正和氏は、「XPのサポート終了後に、新たな脆弱性が見つかる確率は100%」と言い切る。
XPの設計の古さを差し引いてもこれだけのセキュリティー更新が必要なのは、常に脆弱性を見つけて攻撃を仕掛ける人間がいるからだ。悪意のある攻撃者は、OSやアプリケーションソフトのどこかに侵入できる穴がないか探し、見つけるとウイルスを送り込む。先ほどの住宅の例えで言うと、高い所にある窓はカギがなくても安全だったが、泥棒が「はしご」という新たな"攻撃手段"を使えば、とたんにその窓は"脆弱性"に変わってしまう(図3左上)。
同じような攻撃は、XP以降のビスタ/7/8も受けている。ウィンドウズ7で脆弱性が見つかると、同じ問題がXPでも見つかることは多い。ところが、XPのサポート終了後は、7とXPで同じ脆弱性が見つかっても、XPには修正プログラムが提供されない。すると、悪意のある攻撃者は7の脆弱性情報から類推し、XPにも同じ脆弱性を見つけ出して攻撃してくる(図3下)。「XP以降のウィンドウズで見つかった脆弱性を利用してXPに攻撃をかける可能性も100%と考えてよい」(高橋氏)という。
不正送金の被害も急増中
XPは設計が古く、最新のウィンドウズ8.1に比べてセキュリティー面で弱い。実際、ウィンドウズのバージョンごとに比べた悪意のあるプログラム(ウイルスなど)に感染する率は、XPが突出して高い(図4上)。
ウイルスのような悪意のあるプログラムがパソコンに侵入すると深刻な被害をもたらす(図4下)。警察庁によると、2013年に発生したインターネットバンキングの不正送金による被害額は14億円を超える。被害に遭った口座のほとんどは個人の名義だという。
金銭の被害に加えて、個人情報や企業の機密情報が盗まれる恐れもある。メールやSNS(ソーシャル・ネットワーキング・サービス)といったクラウドサービスのアカウントを乗っ取られ、「なりすまし」やネット詐欺などに悪用される例もある。そんなことになれば、社会的な信用を失いかねない。
自分が被害に遭うだけでなく、他人に危害を加えてしまうこともある。ウイルスに乗っ取られたパソコンは、遠隔操作で詐欺メールを送ったり、企業や政府機関のサーバーにサイバー攻撃を仕掛けるのに利用されたりする。ユーザーが知らないうちに、不正行為に加担することになるかもしれない。
仮にこの先、XPの脆弱性を利用した不正行為によって金銭的な被害が広範に発生した場合、マイクロソフトに対応を求める声が上がる可能性もある。しかし、マイクロソフトは「仮定の話には答えられない」としながらも、「4月9日以降はXPのサポートを提供しない方針に変わりはない」という。
XPという製品の欠陥によって重大な損害が発生したのならともかく、悪意のある攻撃者による犯罪行為に対して対応を求めるのは現実的ではないだろう。かつてピッキング行為による空き巣被害が問題になったことがある。それ以前は単純なシリンダー錠でもそれなりに安全だったが、ピッキングの登場により脆弱な鍵になってしまった。だからといって、錠前のメーカーに「すべて取り換えろ」とはならなかった。まして、XPはOSであってセキュリティー対策ソフトではない。
セキュリティー対策ソフトもサポート終了へ
XPに脆弱性があったとしても、セキュリティー対策ソフトを使っていれば安心だと思っている人は多いだろう。しかし、セキュリティー対策ソフトは脆弱性のようなOSの根本的な問題は解決できない。セキュリティー対策ソフトベンダーのカスペルスキーは、「セキュリティーベンダーは泥棒や押し売りを止めることはできても、問題のある家自体を直すことはできない」(川合林太郎社長)と表現する。
セキュリティー対策ソフトのリアルタイム保護機能が働いていれば、ウイルスに対しては一定の効果が期待できる。だが、頼みの綱も2年程度で切れてしまう。
XPのサポートが終了する4月9日以降の個人向けセキュリティー対策ソフトの対応をまとめたのが図5だ。シマンテックやトレンドマイクロなど主なベンダーは、当面ウイルス定義(パターン)ファイルの提供を続ける。ただし、2015年末までには複数のソフトが定義ファイルの更新も終える。
対応が終了するのは、セキュリティー対策ソフトだけではない。市販、フリーを問わず、アプリケーションソフトや周辺機器のドライバーソフトも、XP用は提供されなくなっている。XPパソコンを「現状のまま」で使うならよいが、新しいソフトやハードを追加しようとすると制約が多い。
最善策は8.1への乗り換え
2001年に登場したウィンドウズXPに対して、最新のウィンドウズ8.1が備えるセキュリティー対策は比べ物にならないくらい強力だ。例えば8.1は、プログラムがメモリー上のどこにあるのか特定されないようにする機能を備えている。ウイルスなどから攻撃を受けにくくなる。ユーザーアカウント制御(UAC)も、ユーザーが知らないうちにウイルスなどがシステムを操作するのを防ぐ。セキュリティーの観点からは、ウィンドウズ8.1搭載パソコンに乗り換えるのがベストだ。
そうは言っても、すぐに新しいパソコンに移行できない人はいるだろう。その場合の選択肢は3つある(図6)。一つは、パソコンにウィンドウズ8.1/7などの新バージョンをインストールする。パソコンを買い替えずに済む半面、古いXPパソコンは性能が低く、8.1や7を導入しても快適に使える保証はない。
もしくは、リナックスなどほかのOSに入れ替える手もある。リナックスは古いパソコンでも動作が比較的軽快だが、ウィンドウズ専用のソフトは使えない。また、リナックスに移行すればセキュリティー上の問題がなくなるわけでもない。
最後の選択肢は、対策を施したうえでXPを使い続けること。セキュリティー確保のため、インターネットには絶対につながない。読者の中には「XPパソコンはメールを使うだけ」「できるだけインターネットを使わない」と言う人もいるが、ネットにつないでソフトを使った時点で攻撃対象になるため、対策としては意味がない。
インターネットはもちろん、家庭内のネットワークにもつながない完全独立状態にする。加えて、DVDやUSBメモリーなどのリムーバブルメディアも一切使用しない。メディアを介してウイルスに感染する恐れがあるためだ。
当然、セキュリティー対策ソフトは導入しておくべきだが、定義ファイルの更新が困難になることは覚えておいた方がいいだろう。ウイルス定義を更新するときだけ、セキュリティー対策ソフトが使用するファイアウオールのポートを開放する方法もあるが、ネットワークの知識が必要で手間もかかる。現実的な運用とは言い難いからだ。
使用する各ソフトは最新版が望ましい。ソフトにある脆弱性を攻撃される恐れがあるためだ。とはいえ、OSがXPではソフトもすべて最新版というわけにはいかないだろう。
こうした対策を施したとしても、XP搭載パソコンは使い方が非常に限定される。XPでしか動作しないソフトやハードを使うため完全独立で使う、子供用として特定のソフトだけ使わせるといった使い方しかできないだろう。「まだ使えるパソコンを捨てるのはもったいない」という精神は大事だが、そのために損害を被ることのないようにしてほしい。
(日経PC21 江口悦弘)
[日経PC21 2014年5月号の記事を基に再構成]
ワークスタイルや暮らし・家計管理に役立つノウハウなどをまとめています。
※ NIKKEI STYLE は2023年にリニューアルしました。これまでに公開したコンテンツのほとんどは日経電子版などで引き続きご覧いただけます。
関連企業・業界