つい先日、深刻な脆弱性があることが発表され、ひと騒動あったマイクロソフトのWebブラウザー「Internet Explorer」。幸いにも4月にサポートが終了したWindows XP向けにも特例として修正プログラムが配布された。
この修正プログラムを適用すれば、とりあえずWindows XP上でInternet Explorerを利用する際の安全は確保される。ただし、それ以外の危険がなくなったというわけではない。サポートが終了したOSを使い続けるリスクがあることに何ら変わりはないのだ。
今回の件で、サポートが終了してしまうと、以降の危険性に関して、かなり神経質になる必要があることを改めて認識した人も多かったと思う。
■サポート終了はWindows XPだけではない
何もWindows XPに限らずソフトウェアの古いバージョンでは、サポート期間が終わってから脆弱性が発見された場合、今回のようにサポート期間終了直後なら修正プログラムが提供される可能性はあるが、数年経過していたというようなケースでは、修正プログラムが提供されることはまずない。
Linux系も各ディストリビューションなども、最新版を利用するのが基本だし、オンラインソフトも最新版を導入するのが原則だ。サポートが終了した古いOSやソフトの危険度は、古くなるごとに危険度が高まっていくと考えて差し支えないだろう。
マイクロソフトは自社で提供している各ソフトの脆弱性や不具合の修正プログラムの配布を最低でも月に一度は行っている。
そうした修正プログラムを提供する前に、その内容を事前に通知しておくことで、企業の情報システム担当者が導入の計画を立てやすいよう配慮している。
今回のIEの修正プログラム「MS14-021」のように緊急で提供されることは、滅多にないとはいえ、こうした報告には即座に反応する必要がある。通常は深刻度がそれほど高くない毎月の更新で安全性は保たれているため「どうせたいしたことないだろう」と、ついつい考えてしまいがちだ。
例えば、Windowsが持つ脆弱性の部分に関してWindows XPから8.1まで共通して影響を受ける脆弱性というのが存在し、これが公表される。例えば2013年には年間に20件以上、そうした報告がなされ、2014年はセキュリティ情報MS14-019を含め3件が報告されている。
これらは深刻度がそれほど高くない脆弱性だが、悪用されると被害を受ける可能性は高い。サポート期間が完了したWindows XPも、この脆弱性の影響を受けるわけだが、修正プログラムは提供されない。
こうした情報は、広く一般に公開されているため悪意を持つ人物でも閲覧することができるようになっている。この脆弱性を悪用し、攻撃用のツールを作成して、悪事を働こうと企む人がいてもおかしくはないのだ。
■定期的な更新プログラムのチェックを!
マイクロソフトの更新プログラムは、日本時間で毎月第2水曜日に公開される。たとえば2014年5月の事前告知は日本時間で5月9日に行われ、更新プログラムの提供は5月14日になる。サポート期限の切れていないWindows Vista/7/8/8.1ユーザーは、こうした情報をなるべくチェックし、自分が被害を受けないように注意しておく必要があるだろう。
上倉賢 @kamikura [digi2(デジ通)]
■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook
■デジ通の記事をもっと見る
・IEに致命的な脆弱性発覚! サポート終了直後でWindows XP用IE向けの修正パッチは出るのか?
・NECがパソコン夏モデル発表! なんと応募者全員に1万円相当のプレゼントキャンペーンも開始
・注目度は抜群! 日本でもようやくウェアラブルデバイス普及の兆し
・縦長動画増加の理由 デジカメ以上にスマホに食われつつあるビデオカメラ
・スマホよりも高画質!イメージセンサーのサイズが1/1.7インチのコンデジたち