月例パッチをもとにしたゼロデイ攻撃も、Windows 2000に潜む本当のリスク

株式会社フォティーンフォティ技術研究所の鵜飼裕司氏

　Windows 2000のサポート期間が終了したことを受け、株式会社サイバーディフェンス研究所は10日、「とってもキケンなWindows 2000セミナー」と題するイベントを開催。株式会社フォティーンフォティ技術研究所の鵜飼裕司氏が、「Windows 2000更新プログラム提供終了が意味する本当のリスク」というテーマで講演した。

　マイクロソフト株式会社は日本時間7月14日、Windows 2000のサポート期間を終了した。これに伴い、同日に提供された月例セキュリティ更新プログラム（修正パッチ）を最後に、以降は修正パッチの提供が行われなくなる。つまり、Windows 2000の脆弱性が発見されても、今後は原則として修正パッチが提供されないということだ。

　鵜飼氏によれば、Windows 2000のコードは、Windows XPおよびWindows Server 2003のコードと多くが共通しているという。このため、Windows XPのパッチ適用前と適用後のコードの差を解析する「パッチ差分解析」を行って脆弱性の詳細を特定することで、コードが似ているWindows 2000を狙ったゼロデイ攻撃も可能だと説明する。

　「例えば、8月に提供されるWindows XP向けの修正パッチが適用される前後の差分をとれば、どのような脆弱性が修正されたかが簡単にわかる。コードが似通っているせいで、XPの脆弱性をもとにしてWindows 2000が攻撃される可能性もある。つまり、月例パッチ提供がゼロデイ攻撃を生み続ける皮肉な状況が予想される。」

　さらに悪いことにWindows 2000には、データ実行防止（DEP）機能やファイアウォールなど、Windows SP2以降で導入されたセキュリティ機能が実装されていないとも指摘。こうしたことから、Windows XPでは深刻度の低い脆弱性でも、「Windows 2000では致命的なものもある」という。

Windows 2000の問題	パッチ差分解析

　とはいえ、アプリケーションがWindows 2000にしか対応していないなどの理由で、Windows 2000を使い続ける企業も少なくない。鵜飼氏は「メンテナンスされているプラットフォームに移行するのが王道」としながらも、移行が間に合わない場合の“延命措置”を紹介した。

　具体的には、ファイアウォールや侵入防止システム（IDS）などのネットワークソリューションを導入したり、ヒューリスティック技術を用いて攻撃コードの実行を阻止するソフトウェア「FFR yarai 脆弱性攻撃防御機能 for Windows 2000」のようなエンドポイント側の対策を導入することで、脅威の発生を抑制できるとした。

　最後に鵜飼氏は、Windows 2000を使い続ける場合にはリスクを分析した上で、許容範囲外のリスクがある場合は、必要な施策を適切な方法で導入すべきとコメント。また、可能な限り早期にメンテナンスされているシステムに移行するよう呼びかけた。