今月のコラム
今月のコンテンツ
Windows XPは残り800日
本年1月28日でマイクロソフト社のWindows XP、 Office 2003製品のサポート終了まで800日を切りました。 このサポート終了によって、これらの製品で発見された脆弱性を 修正するセキュリティパッチも提供されなくなります。800日というと、まだ約2年数か月ありますが、特にWindows XPは 2001年に登場してから10年近く販売されたOSということもあり、 まだまだ相当数が世の中に残っているものと推測されます。 一方でアップグレードといっても業務アプリケーションとの互換性、 工数やコスト、長きに渡って慣れ親しんだ環境からの移行など 解決が必要な問題も多数あるものと考えられます。
しかしながら、攻撃者たちはこれまでと同様に攻撃できる対象が 多数ある以上、その製品を狙った攻撃を次々と仕掛けてくる 可能性が考えられます。 不要なサイトへ訪問は控える、身に覚えないメールは開かない、 セキュリティ対策製品を導入して定義ファイルを最新の状態に 保つ等の方法は引き続き有効ですが、マイクロソフト社製品に限らず、 現時点において、脆弱性を根本的に解決するためには脆弱性を修正する パッチを適用していく必要があります。
脆弱性が修正されない危険なOSを出来るだけ減らし、 脆弱性が発見された場合に被害にあう可能性を少しでも抑えられるよう 移行の検討や準備をして頂くことも、セキュリティ状態を維持するためには 有効であると存じます。
なお、今年に入っても、昨年に続き運送会社を装ってウイルス付きメールを 送信する事例が確認されておりますので十分にご注意ください。
バランスのとれたセキュリティ対策
前回のコラムでは「新しいタイプの攻撃への対策」についてご紹介させて頂きました。 攻撃を仕掛ける側は私達が既に知っている対策済みの箇所を攻めてはこないでしょうから、 新しいタイプの攻撃に備える為には過去の脆弱性はもちろんの事、その次のレベルの攻撃を 想定して対策を行わなくてはなりません。このような攻撃に対し、コストを沢山かけて最新のセキュリティ機材やソフトを導入すれば 済む事なのでしょうか。
答えは「NO」です。
仮にもし優れた対策を施したとしても、いざその機材がアラートを出したときに管理者が どのような行動をとったら良いのかわからなければ、適切な対応ができず、結果として 無駄な投資になりかねません。
また、システムを利用するユーザ側においても、「ソフトウェアを常に最新の状態に保つ」、 「パスワードの更新を行う」、「パスワードの使い回しをしない」等の基本的なことが 行われていないと、被害を受けやすくなり、実際に被害を受けた際に影響が広がりやすく なります。
実際に、Adobe製品の脆弱性を悪用した攻撃が非常に多く確認されておりますが、 IPAが去年の12/20に発表した情報セキュリティに関する意識調査の結果の中に 「セキュリティ対策の実施状況に関する調査結果(P37)」から約半数のユーザーは、 Adobe Reader を脆弱な状態で使用しているというデータもあり、危険な状態が 放置されている状況です。
http://www.ipa.go.jp/security/fy23/reports/ishiki/documents/2011_ishiki_report.pdf
やはり、セキュリティ対策には、ただ一点に力を注ぐのではなくバランスが最も重要なのでは ないでしょうか。
弊社では、システムと人、システムと効率、そして人と効率、この3つの要素が 各々単独に存在するのではなく融合してこそ、今、新たなる脅威からの企業の コンピュータセキュリティを維持、運用できるものと考えております。
御社のセキュリティ対策をより効果的、効率的に『運用』していただくお手伝いが できればと考えておりますので、今年も弊社を何卒よろしくお願い申し上げます。
ウイルス情報
Windows Mediaの脆弱性を悪用するウイルス
今月マイクロソフト社からリリースされたセキュリティパッチ「MS12-004」で 修正されるWindows Mediaの脆弱性を悪用したウイルスが確認されております。 ウェブサイトにJavaScriptと共に埋め込まれ、細工されたMIDIファイルを開くと、 本脆弱性が悪用され、他の悪意あるソフトウェアが作成される可能性があります。そのため、以下のような対策を徹底して頂くことをお勧めさせて頂きます。
・業務に不要なサイトへの訪問は避ける
・パターンファイルを最新にする
・MS12-004のセキュリティパッチを適用する
過去のコラムにつきましては、サポートメールのバックナンバーをご覧下さい。
