どうも、マルワの裏方あれこれ担当です。
今回は、先月の「清掃員スキリの事件簿(情報セキュリティ編)」の第2話になります。
来月、2025年10月14日をもってwindows10のメーカーサポートが終了します。もし、サポートが終了したOSを使い続けるとどうなると思いますか?
ということで、今回のお話は「『まだ使える』の落とし穴」と題して、「古いバージョンのOSやソフト、特にサポート期間の切れたものを使い続けることはリスクですよ」という内容です。
これを機に、自社端末のOSを再確認していただければ幸いです。
情報セキュリティ管理については、「インフォぷりん」というものも発行しております(コチラからお読みいただけます)。
―清掃員スキリの事件簿―
情報セキュリティ編 Vol.02 古いOSに忍び寄る魔の手
【ご注意】本ブログに掲載されている物語は、一般的な情報提供を目的としたフィクションです。登場する企業名、人物名、団体名などはすべて架空であり、実在の企業・人物・団体とは一切関係ありません。
【免責事項】
- 本コンテンツは、筆者が作成した文章について、複数の生成AI(OpenAI社のChatGPT、Microsoft社のCopilot等)を活用して校閲し、再度筆者が加筆・編集を行ったものです。また、イラストはAdobe社のPhotoshopの画像生成機能(Firefly)を活用して作成したものです。
- 内容の正確性・完全性については十分な注意を払っていますが、必ずしも専門的知見や現実の事実に基づくものではありません。具体的な問題への対策等については、必ず専門家にご相談ください。
- 本コンテンツの利用により生じたいかなる損害についても、当社は一切の責任を負いかねますので、あらかじめご了承ください。
【登場人物】
スキリ: デジタルリスク管理のスペシャリストであるが、ある事情から現在は清掃員として働いている。豊富な知識と鋭い観察眼を持ち、社員からの信頼が厚い。本作の主人公。
ムラタ: システム部所属。この世の中で一番嫌いなものはマルウェア。
ナレタノ: 営業部所属。丁寧な仕事に定評があるベテラン社員。今回のトラブルの当事者。
サポート切れOSを使い続けることのリスク
日本の某所。××(ばつばつ)株式会社。
午前の清掃を終えたスキリが掃除道具を倉庫に片付けに行く途中、廊下を駆け抜けていくシステム部のムラタとすれ違う。ムラタは営業フロアへと飛び込んでいく。
ナレタノさん、今使っているPCをすぐネットワークから切り離してください!そのPCから社内サーバーに異常なアクセスがあったと警告がありました!
えっ、このPCが?いつもの作業をしていただけですが……。ネットワークから切り離すって、どうしたらいいのか私にはわかりません……
とりあえずWi-Fiをオフにするかネットワークケーブルを抜いてください!あとは私がやりますから。
先ほどのムラタの様子が気になって営業フロアにやってくる。
ムラタさん、さっきすごい勢いで廊下を走っていきましたが、なにかあったのですか?
あ、スキリさん!すみません、おもいっきり廊下を走ってしまいました……。実は、ナレタノさんのPCから社内サーバーに異常なアクセスがあったようなので、ネットワークから切り離したところです。幸いセキュリティシステムがアクセスを遮断したので大事には至りませんでしたが。それで、スキリさん、おそらく原因はこれかと……
スキリはムラタにナレタノのPC画面を見せてもらい、うなずく。
なるほど。これが原因で間違いなさそうですね。
トラブルの原因と対策
何がいけなかったのですか?おかしなことは何もしていませんよ?私物のUSBメモリを使ってもいないのですし……
ナレタノさん、このPCはOSのアップグレードをせずに古いOSのまま使っていますね。それが今回の原因です。システム部から、『〇月〇日までに必ずOSを最新にアップグレードしてください。期日を過ぎるとこれまでのOSではメーカーサポートが受けられなくなります』って通達がありましたよね?
あぁ……、そういえばそんなメールが来てました。でも、よくわからないし、PCは普通に使えているから、まぁいいかって……。それにOSっていうものを変えたらPCの画面が変わって使いにくくなったって言っていた人もいたので、やらなくてもいいかって……
OSアップグレードのことは、半年前から定期的に通達していましたよ。通達するからには、やらなければいけない理由があるんですよ。
OSというのは『PCやスマホなどの端末を動かすための基礎となるソフト』です。OSがないと、メールもネットも使えないし、ワープロソフトを使って業務報告書を作ることもできません。ただし、OSにはセキュリティ上の弱点含まれてしまっている場合があり、弱点を悪用されると端末を不正に利用されてしまう可能性があります。だから、弱点を修正したり、機能を向上させるために定期的にアップデートがあるんです。とはいえ、いつまでも古いOSのアップデートを提供し続けることは提供者の負担になります。だから一定の期間を経過した古いOSのアップデート提供(サポート)はいつか終了してしまうことがほとんどです。その代わりに新しいOSが提供されるので、新しいOSにアップグレードする必要がある、ということです。
サポートが終了してアップデートが提供されなくなるということは、新たに見つかった弱点が修正されなくなる、ということです。例えるなら、『窓が割れても修理をしてもらえない部屋に住み続けるようなもの』です。OSの弱点は利用者が修理しようとしても直せません。悪いことを考える人はあの手この手で『侵入できる弱点』を探しているので、サポート切れのOSを使い続けていると、格好の標的になってしまうんですよ。
そんなに重要なことだったのですか……。でも、サポートが終了したというこのOSでも、メールチェックや報告書作成はできていましたよ?
OSのサポート期間が切れても端末を使うことはできます。ですが、スキリさんが言う通り、欠点が放置されるので、コンピューターウイルス(マルウェア)の侵入を防げなくなり、セキュリティリスクが高くなります。今から詳しく調べますが、ナレタノさんのPCもおそらくコンピューターウイルスに侵入され、そのせいで社内サーバーに異常なアクセスが行われたものと思います。それに、古いOSでは最新の業務ソフトなどに対応できないこともあります。その意味でもリスクになります。
OSやソフトウェアは自動でアップデートされるものもありますが、今回のようなOSのアップグレードや大幅なアップデート(メジャーアップデート)は自動更新が適用されない場合が多いんですよ。なぜなら、端末の性能によってはアップグレードや大幅アップデートに対応できない場合があるからです。それと、アップグレードや大幅アップデートは、既存のソフトとの互換性に影響を与える場合もあります。そういう時はシステム部から何らかの指示があるので、それに従ってください。
わかりました。これからは気を付けます……
ムラタさん、もしかしたら他にもOSをアップグレードしていない端末があるかもしれません。すべての端末のOSを確認したほうがいいですね。
そうですね、すぐにシステム部で手分けして確認します。スキリさん、今後同じようなことが起きないようにするために、何かいい対策はありますか?
対策として、『一括して端末の設定や更新を管理できる仕組みの整備(端末管理ツール導入など)』は有効だと思います。コストはかかってしまいますが、管理者側で各端末のOSのバージョンを把握できます。強制的にアップデートを実行したり、古いOSの利用に制限をかけたりできるものもあるので検討してください。あと、せっかくシステム部が通達していてもアップグレードやアップデートの実施を社員任せにしたこともリスク要因と言えるので、必要な場合はシステム部などの責任者がアップデートを実施するできるような体制の整備、アップデートの重要性についての社員研修なども必要かもしれません。
ありがとうございます。確かに人によって重要性の認識には差がありますからね。優先順位低くされてしまったり、そもそもやらない人がでてきたりしてしまう。システム部長に提案してみます!
その後の調査により、ナレタノのPCからコンピューターウイルスが発見され、システム部によってPCは初期化されることになったが、社内サーバーへの異常アクセスがブロックされたこと以外の影響はなく、また、社内の他の端末はすべて最新OSにアップデートされていることが確認された。
後日、幹部会議が開かれ、「『古くてもまだ使える』ではなく『今も安全に使える』ことを端末利用の基本方針とすること」「サポート切れOSやソフトの業務利用を原則禁止することを社内規定に追加すること」「端末管理ツールの導入」「全社員に向けたセキュリティ研修の再実施」が決定された。
今回のトラブルを防ぐための三箇条
- サポート切れOSやソフトは原則使用しない! サポートの切れたOSの端末は『鍵が壊れても修理してもらえない家』。攻撃者の標的にされてしまいます。
- OSやソフトは最新の状態をキープ! PCやソフトのアップデート通知は無視せず、必ず確認して適用を。自動更新を有効にしておくのが安心です。
- やむを得ず古いOSやソフトを使う場合はネットにつながない! 業務上どうしてもサポート切れOSやソフトを使う必要がある場合、インターネットや社内ネットワークから切り離し、USBメモリなどの接続も避けましょう。
この後、スキリに次なるトラブルが待ち受けているのですが、それはまた別のお話で……
いかがでしたでしょうか?
ルールには例外がつきもの、とはいえ、安易に例外を作ってしまうと、その分「穴」が開いてしまうことになります。
利便性と安全性を天秤にかけて、自社で許容できる範囲内でルールを定め、安全に運用していけたらいいですね。
ということで、今回の「清掃員スキリの事件簿」のBGMは、イタリア映画音楽の巨匠、アルマンド・トロヴァヨーリのスキャットが印象的な名曲「黄金の七人(同名映画のテーマソング)」なんかいいんじゃないでしょうか。
なんて思いつつ、本日はこの辺で。
