PR
図●2012年7月から2014年6月までの2年間に発見されたWindows Server 2003が影響を受ける脆弱性の数と深刻度の割合(IPAの発表資料より引用)
図●2012年7月から2014年6月までの2年間に発見されたWindows Server 2003が影響を受ける脆弱性の数と深刻度の割合(IPAの発表資料より引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2014年7月8日、2015年7月15日(日本時間)にサポートが終了する米マイクロソフトのサーバー向けOS「Windows Server 2003」を使っている企業ユーザーに向けて、後継OSへの迅速な移行を呼びかけた。

 2014年4月9日(日本時間)にサポート切れを迎えたWindows XP同様、Windows Server 2003も、サポート終了後は修正プログラムが提供されなくなる。参考になる情報としてIPAでは、2012年7月から2014年6月までの2年間に公表されたWindows Server 2003が影響を受ける脆弱性の数と深刻度の割合を提示()。それによると脆弱性は231件公表され、その内170件は深刻度が最も高いレベルIIIだったという。

 この深刻度は、「遠隔からシステムを完全に制御されるような脅威」「大部分の情報が漏えいするような脅威」「全てのシステムが停止するようなサービス運用妨害」などに該当する。サポート終了後も、同じように多数の脆弱性が見つかる可能性は高い。

 IPAはまた、悪用されることにより企業ユーザーが大きな被害を受ける既知の脆弱性の例を二つ挙げた。一つは「Server サービスの脆弱性(MS08-067)」で、実際に2008年から2009年にかけて、同脆弱性を悪用する「Conficker」(コンフィッカー)というウイルス(ワーム)が猛威を振るった。Confickerは、拡散時に大量のトラフィックを発生させるため、感染した組織のネットワークを次々と麻痺させたという。

 もう一つは、「Windows カーネルの脆弱性(MS14-002)」という脆弱性だ。こちらは一般ユーザー権限から管理者権限への権限昇格を可能にする脆弱性で、犯罪者がこれを悪用することにより、一般ユーザーのアクセスが許可されていないファイルにアクセスし、機密情報を不正に持ち出すことが可能になる。