Windows Server 2003サポート終了がもたらすリスク、内部のサーバーも狙われる危険性

　マカフィー株式会社は23日、Windows Server 2003のサポートが7月15日に終了することについて、サポート切れに伴うリスクや、やむを得ず運用を継続する際の注意点などを、公式ブログで説明した。

　Windows Server 2003は、7月15日にサポート期間が終了となり、以降は脆弱性が発見された場合などでも、セキュリティ更新プログラムは提供されず、攻撃に対して危険な状態となる。

　マカフィーでは、2014年4月にはWindows XPのサポート期間が終了したが、Windows XPというクライアントOSの移行においても、計画を立て、検証を行い、ユーザーの理解を得ながら新OSに移行するのためには手間と時間がかかったと説明。これに対して、Windows Server 2003は文字通り「サーバー」で、クライアントOSと比較して利用台数は少ないものの、さまざまな業務アプリケーションの基盤として利用しているケースも多く、システムを入れ替えるとなると、アプリケーションの動作検証などにより多くの時間を費やす必要があるとしている。

　しかし、こうした手間がかかるからといって、サポート切れのOSをそのまま使い続けることには大きなリスクが伴うと説明。情報処理推進機構（IPA）の情報では、Windows Server 2003は発売から10年以上たった今でもなお、新たな脆弱性が発見されており、2015年3月には17件もの脆弱性情報が登録されたとしている。

　OSのサポート終了後は、脆弱性が発見されても修正パッチは提供されず、危険な状態のまま放置されることになってしまうと説明。「サーバーは社内にあり、外部からの接続はできないようになっているから大丈夫」といった考えも、たとえば内部にある社員のPCがマルウェアに感染し、そのマルウェアからの攻撃によってデータの窃取やデータ／システムの破壊といった被害に遭う可能性は否定できず、最近の標的型攻撃の傾向としても、内部のサーバーが狙われていると注意を促している。

　また、Windows XPのサポート終了直後には、Internet Explorerのゼロデイ脆弱性が発覚しており、攻撃者は事前に調査済みだったゼロデイ脆弱性を、サポート終了後のタイミングを狙って突いてきた可能性があると説明。Windows Server 2003でも同様のことが起こりうると警告している。

　マカフィーでは、こうしたリスクを踏まえると、Windows Server 2003を利用している環境を、なるべく早く後継システムに移行させる必要があると説明。移行にあたっては、仮想化環境やクラウド環境といった新たなプラットフォームへの移行と、より包括的なセキュリティの実現も視野に入れて検討することを勧めている。

　一方で、現実問題として「どうしても移行が間に合わない」という場合への対処として、マカフィーでは「後継環境に移行する場合」「やむを得ず当面Windows Server 2003を継続利用する場合」「新旧の環境が混在する場合」のそれぞれに対し、安全に運用するためのソリューションを提供するとしている。