Windows XPの非公式アップデートに注意 - トラブルのおそれ
4月にサポートが終了した「Windows XP」に対して、セキュリティ更新プログラムを非公式に適用する手法が公開された。しかしながら、技術的な検証など行われておらず、日本マイクロソフトでは危険性を指摘している。
今回明らかとなったのは、サポートが終了した「Windows XP」の一部レジストリを操作することで、組み込み機器など特定の用途に限定して提供されている「Windows XP Embedded」の更新プログラムを、「Windows XP」へ適用する手法が公表されたもの。
「Windows XP Embedded」は、組み込み機器向けにカスタマイズできるよう用意されたOS。クライアント向け製品に比べてサポート期間が長いのが特徴。コンポーネントが分割されているが、「Windows XP」とバイナリ互換となっている。
特に今回非公式のアップデート手法で利用された「Windows Embedded POSReady 2009」は、2009年にリリースされたPOS向けのOSであり、サポート終了日は2019年4月9日と5年先だ。セキュリティ更新プログラムは、同OSが組み込まれた機器を販売するOEMメーカーだけでなく、「Windows Update」経由でも提供されており、これをアップデートに利用した。
今回明らかとなった手法に対し、日本マイクロソフトでは、入手できるとされるセキュリティ更新プログラムは、あくまで「Windows Embedded」や「Windows Server 2003」向けに作られたものであり、「Windows XP」を保護できるものではないとコメント。「Windows XP」においてテストを実施しておらず、不具合が発生するリスクがあることを強調した。
一方で今回の問題に対し、同社はメディアの取材に対して、技術的な課題を挙げ、危険性を指摘するにとどめており、それ以上については静観している模様だ。具体的な対抗措置なども、現時点では発表していない。
しかし、クライアント向けOSとEmbedded製品ではまったく異なったライセンス体系で提供されており、ライセンス違反となる可能性が高い。利用環境も大きく異なり、トラブル防止などを理由に、今後技術的な対策が講じられることも予測される。
また技術的な問題はもちろん、法的な側面からも問題があり、Windows XPからの移行が遅れている企業や組織にとって有効な対応策とはならない。従来通り、OSの切り替えが必要となる状況に変わりなく、地道に対策を講じていくしかなさそうだ。
(Security NEXT - 2014/06/04 )
ツイート
関連リンク
PR
関連記事
商業施設テナントの従業員情報含むPC、2013年以降に紛失 - 南海電鉄
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
「Win 7」「WS 2008」サポート終了まで1カ月切る - 移行漏れないよう確認を
MS月例パッチが公開、脆弱性35件を修正 - 一部ですでに悪用も
ワーム悪用懸念の脆弱性を含む端末が95万台弱
日本語などテキスト処理に脆弱性、Win XP以降に存在 - 報告者が詳細公表
5月中旬から「TCP 37215番ポート」宛パケット増加 - 「Mirai」亜種か
リモートデスクトップ狙うアクセスが増加 - 広範囲のポートに探索行為
Windowsタスクスケジューラにゼロデイ脆弱性 - 悪用に警戒を
Windowsに深刻な脆弱性、ワームに悪用可能 - 「Windows XP」など旧OSにもパッチ提供