「Windows 7」のサポート期間が2020年1月に正式に終了したことを受け、米連邦捜査局(FBI)は米国時間8月3日、協力関係にある米国の民間企業に対して、Windows 7の利用継続にともなう危険などについて注意喚起する「Private Industry Notification」(PIN)を送付した。
FBIは、「OSのサポート終了後、サイバー犯罪者がコンピューターネットワークインフラを標的にするのを見てきた」としている。
さらにFBIは、「企業内でWindows 7の使用を継続すると、サイバー犯罪者がコンピューターシステムにアクセスする手段を与えることになる恐れがある。セキュリティアップデートがなく、新たな脆弱性が発見されるため、時が経つにつれて、Windows 7は悪用されやすくなる」とし、「サポート終了後は、パッチが適用されたWindows 7システムを保守できる顧客が減り、サイバー犯罪者はWindows 7を格好の標的と見なし続ける」と警告している。
企業にアップデート促す
FBIは企業に対し、ワークステーションを新しいバージョンのWindows OSにアップグレードすることを検討するよう求めている。
FBIはPINの中で、新たなOSでは、新しいハードウェアやソフトウェアや既存のカスタムソフトウェアのアップデートのコストなど、特有の課題が生じるとしている。
さらに、「だが、こうした問題は、知的財産の損失や組織に対する脅威と比べると重大ではない」とし、企業は将来を大局的に見て、将来起こりうるハッキングがもたらす損失が、現在のアップグレードのコストを容易に上回る恐れがあることに注意するべきだと述べている。
FBIは、遅滞なくできるだけ早急にシステムを移行するべき理由を示す例として、「Windows XP」のサポート終了時の問題に言及している。
「OSのサポートが終了した時に、医療業界で不正侵入の増加がみられた」とし、2014年4月にWindows XPのサポートが終了すると、「その後1年間、医療業界では記録の漏えいが大幅に増加した」と述べている。
悪用されたWindows 7の脆弱性
FBIはさらに、この数年でサイバー攻撃にWindows 7の脆弱性が悪用された例にも言及している。
2017年に発生した「WannaCry」ランサムウェア攻撃などでは、「EternalBlue」エクスプロイトが悪用された。2019年の「BlueKeep」は、リモートデスクトップ(RDP)の脆弱性だ。
FBIによると、これらの問題に対するパッチは存在するが、影響を受けるシステムにパッチを適用していない企業もあるという。
企業はシステムのアップグレードを検討しているかもしれないが、FBIは以下の点についても検討するよう推奨している。
必ずウイルス対策ソフトウェア、スパムフィルター、ファイアウォールを最新版にアップデートし、適切に設定してセキュアにする。
ネットワークの設定や、隔離されたアップデートできないコンピューターシステムを監査する。
RDPを利用するシステムのネットワークを監査し、未使用のRDPポートを閉じ、できる限り2要素認証を適用して、RDPへのログインのログを取る。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。