■ WindowsXPの永久ゼロデイ攻撃が始まる
 WindowsXPのパッチの無償提供が終了した。多額の費用をかけてWindowsXPの特別サポートをしてもらっているところは別として、組織の規模が大きくなればなるほどサポート切れのWindowsXPが残ってしまっているのではないであろうか。ネットワークに接続しない、USBメモリを利用しないなどの措置がされていれば少しは安心できるかもしれないが、インターネットに接続した状態で残ってしまっているケースも十分考えられる。IMG_3290パッチが提供されない以上深刻な脆弱性が発見されると、そのマシンが廃棄されるまで脆弱な状態になる。脆弱性が残ってしまう状態とは、その脆弱性がつかいやすいものであれば容易に外部からの攻撃が成功し、そこを踏み台として他のパッチのあたっているマシンやサーバーまでも攻略する足がかりとなる。残ったマシンだけの問題でなくネットワーク全体の問題となりうるのである。

■ どこが弱点となりうるのか?
 今後修正されない脆弱性が発覚する可能性が高く成功率の高い攻撃対象となりそうなのは以下の箇所である。
  • Office 2003 Word Excel Outlook powerpoint
  • Internet Explorer
  • メディアプレイヤー
  • サポートされなくなった無償提供されているソフト
もしこれらの後継バージョンに脆弱性があった場合、今つかっているソフトウェアにも脆弱性があり、調査対象となっていないと思って間違いないだろう。

■ 何から守るのか
 攻撃自体から守る事と攻撃者から守る事では対策も変わってくる。攻撃自体から守るには、ウイルス対策ソフトで検知されないなど技術的な限界もあり、現状は攻撃側優位で、防御方法は限界に達している。数撃ちゃ当たる方式で、WindowsXPのマシンが残っていることを前提として攻撃するケースでは、本当にWindowsXPが残っていると攻撃が成功してしまう。
  • WindowsXPを対象とした攻撃から守る
  • WindowsXPを狙ってくる攻撃から守る
無差別な攻撃と違い標的とする攻撃をする者から守るには、攻撃対象にならないようにする、攻撃者が途中で諦めるにようにするなどの対策をする余地があり、脆弱であっても攻撃を成功させないという点では優位に立ちやすい対策が取れる。標的型攻撃では、相手の情報が重要でネットワーク構成、利用しているOSなどの情報は攻撃する上で重要な情報となる。

■ WindowsXPでインターネットにアクセスしてはいけない
 もしWindowsXPでインターネットにアクセスすると、相手のサーバーや広告会社、世界各国に広がる広告ネットワークにその組織はWindowsXPが残っていることを知らしてしまうことになる。WindowsXPユーザ向けに広告なども打てるわけなので、WindowsXPユーザ向けに攻撃コード入りの広告を打つことも可能である。WindowsXPをつかっている組織向けに、標的型攻撃メールを打つということも有効な攻撃手段となりうる。WindowsXPをつかっているように見えない組織であれば、WindowsXPでアクセスした場合のみ発動する攻撃にはかからなくなのだが。

■ 対策はどうしたらいいのか?
 最良の対策はマシンごとWidown8.1に乗り換えることである。乗り換えられない場合は、インターネット接続、LAN接続を切り、USBメモリを使用禁止に、データの移動はCD-RやDVD-Rをつかう。また、ソフトウェアの制限ポリシーによって実行可能なプログラムを現在インストール済みのものだけに制限する。これで感染経路や感染拡大経路を最小化しよう。これらに加えて、完璧に行ったつもりでも組織内にWindows XPが残ってしまうことも考えて、WindowsXPでのインターネット接続を検知したり、攻撃者にその情報を渡さない方策もあり、自社でも対策方法をリリースしました。OnePointWall( http://www.onepointwall.jp/ )により、社内からXPでインターネットに接続しているユーザを探したり、XP向けの攻撃コードをかわすことができるケースも出てくると思います。