2021.04.28

サポート終了したOSにはどのようなリスクがあるのか?そこに発生するリスクをご紹介!

難易度
1
カテゴリー
おしえてアカデミー!

サポート終了したOSにはどのようなリスクがあるのか?そこに発生するリスクをご紹介!

目次
サーバーOSの種類は?
Linux
Red Hat Enterprise Linux
CentOS
OSのサポートが終了したらどうなる?
OSサポート終了後…放置するとリスクな「脆弱性」とは?
脆弱性が悪用されるとどんな被害が起きるのか?
まとめ
紹介:今後のCentOSの移行先について

IT機器には、全てハードウエアを制御するためにOSが搭載されています。OSは機能の追加や性能の向上、不具合の解消や「脆弱性」対応のため、開発者によってOSの機能改善のアップデートは継続的に行われています。しかし、これは開発者によってサポートされているOSでのみ対応されており、サポート終了を迎えたOSは不具合や脆弱性が見つかったとしても対応されないため、リスクがある状態のまま利用するということになります。
しかし、意外とサポート終了したOSを使い続けている方も多いというのが現状です。皆さまはしっかりと対応されているでしょうか。

OS(オペレーティングシステム)とは、コンピューター全体を制御して、ユーザーがパソコンやスマートフォンなどを分かりやすく簡単に操作できるようにするためのシステムです。

「ソフトウエアとハードウエアを仲介する」という重要な役割を担っています。
OSがないとパソコンを動かすことはできません。

サポート終了したOSにはどのようなリスクがあるのか?サポート終了後のOSを使い続けるリスクをご紹介!

サーバーOSの種類は?

OSには、さまざまなな種類がありますが、今回は主に業務用サーバーに利用される「Linux」と呼ばれるOSについて、代表的なものを取り上げたいと思います。

Linux

Linuxは1991年に、リーナス・トーバルズ氏によって開発されました。リーナス氏が当時利用していたOS「MINIX」の変わりとなるOSを、誰でも自由に利用、変更、配布することができる「オープンソース」で作成したいという考えから生まれました。
そして、Linuxの最も優れた点の一つは、この「オープンソース」であることです。
Linuxは無料で利用でき、自分でOSを書き換えることができるほど自由に利用することができます。利用目的に合わせて細かなカスタマイズが可能で、さらに変更を加えたOSを再配布することもできます。これによって、さまざまな理念や目的に合わせて開発者がOSを派生させていきました。これを、「Linux ディストリビューション」といい、いまではLinuxといえば、このLinuxディストリビューションを指していることが多いです。
今や数えきれないほどのLinux ディストリビューションが存在し、弊社WADAXが提供しているOS「Red Hat Enterprise Linux」や「CentOS」もその一つです。

Red Hat Enterprise Linux

Red Hat Enterprise Linux(以下、RHEL)とは、Red Hat社が提供する最も有名な企業向け「Linuxディストリビューション」です。
安定性や信頼性に特化しており、商用としての評価が高く、長期サポートを有償で提供しています。

CentOS

CentOSとは、RHELを元に商標、ライセンスに関わるものを排除し、フリーなものに置き換え作り直した「Linuxディストリビューション」です。つまり、無料版のRHELです。
最近までは、商用にも耐えうるTOPシェアの無料Linuxディストリビューションという位置付けでした。しかし、最新バージョンのCentOS 8 が2021年でサポートを終了するという発表以降は、CentOSの代わりとなるOSが何になるかが注目されています。

OSのサポートが終了したらどうなる?

冒頭でも少し触れましたが、OSのサポートは永遠ではありません。OSごとにサポート終了日が発表されていたりしますので、不安な方はぜひ調べてみてください。

OSはサポートを続けることで、開発者によりさまざまなアップデートが行われます。増改築を重ねると、OSは徐々に古い技術で構成された不安定なものになっていきます。IT技術の進歩は早く、古い技術や不安定性により対応することが困難になります。そして、新しい技術で最初から作り直された新OSに移行してほしいという開発者の思いから、古いOSのサポートが終了されることが多いです。

サポートが終了すると、対象のソフトウエアに何らかのバグや「脆弱性」が見つかったとしても、開発者はこれまで行ってきたトラブルへの対応を保障しなくなります。

特に企業にとって致命的なリスクとなり得るのは脆弱性への対応です。サポートが終了したOSに脆弱性が発見されても対応されず、常に悪質なユーザーに攻撃されるリスクにさらされることになります。その後も新たな脆弱性は次々に発見されるため、時がたてばたつほどそのリスクは増大していきます。

サポート終了したOSにはどのようなリスクがあるのか?サポート終了後のOSを使い続けるリスクをご紹介!

引用
https://www.nec-nexs.com/sl/security/it/13.html

OSサポート終了後…放置するとリスクな「脆弱性」とは?

「脆弱性」とは、コンピューターにおける情報セキュリティ上の欠陥のことをいい、悪用されるとさまざまなリスクがあります。
例えば、CentOS5のサポート終了後には以下のような脆弱性が発見され、重大なセキュリティリスクに発展しました。この脆弱性を利用すると、自由にコードを実行することができるようになります。

脆弱性分類 CVE-2017-5461
概要 Mozilla Network Security Services (NSS) の Base64 デコーダに境界外の書き込みを許す可能性のある不具合
攻撃後の行動 この脆弱性を利用し、NSS ライブラリをリンクしたプログラムをクラッシュさせたり、任意のコードを実行することが可能

その他にも、以下のような攻撃を可能にする脆弱性が判明しています。
・特権ユーザー(admin)を勝手に操作する攻撃
・意図しないサービスダウンを発生させる攻撃
・パスワードや暗号鍵など重要情報を窃取する攻撃

しかし、これらは既にサポートが終了しているOSは開発元から修正は提供されず、無防備な状態でさらされ続けます。これは情報漏えいなどのセキュリティインシデント(事件/事故)に発展しうる非常にリスクが高い状態です。

脆弱性が悪用されるとどんな被害が起きるのか?

被害者 被害内容
株式会社ヨシハラシステムズ 「せんたく便」 58,813名のクレジットカード情報(名義、番号、有効期限)流出
電機メーカーソニー株式会社と株式会社ソニー・コンピュータエンタテインメント 7700万件以上の顧客情報を漏えい 被害は2兆円以上

参考URL
https://www.sentakubin.co.jp/news/20210405.html
https://www.sony.jp/info/20110506.html

もし被害にあってしまった場合のコスト

損害 概要
賠償責任 損害賠償金 漏えいにより損害を与えてしまった人から請求される損害賠償金
争訴費用 損害賠償に関する争訴費用、弁護士費用など
費用損害 法律相談費用 漏えい後の対応のために弁護士に対して支払う相談費用
事故対応費用 漏えい後の対応として発生する費用
通信費用:電話、FAX、郵便(文書作成、封筒代、送付費用など)
社外問い合わせ費用:問い合わせに必要なコールセンター会社への委託費用
人件費:応援人員や残業代など
出張や宿泊費:事故対応により生じる旅費など
事故原因調査費用:事故調査に要する費用(フォレンジック費用など)
広告宣伝活動費用 謝罪広告(社告など)や再発防止策などの広報に要する費用
コンサルティング費用 被害拡大防止策や原因調査、メディア対応、再発防止策の立案実施において、外部の専門家を起用した場合の費用
見舞金・見舞品費用 漏えい被害者に対して謝罪のために支払う見舞金や、送付する見舞品の費用
逸失利益 サイバー攻撃による事業中断などにより得られなくなった、本来得られるべき利益

引用
https://www.motex.co.jp/nomore/casestudy/5010/

トレンドマイクロ社の2020年の調査によると、国内法人における約4割のセキュリティ担当者が、セキュリティインシデントに起因する被害を経験したと回答しています。被害への対応や改善策導入などで約1億4800万円の費用が生じていました。セキュリティインシデントによる企業への打撃は膨大なコストが発生する可能性が高く、最悪の場合、事業継続ができなくなることも考えられます。

まとめ

サポートが終了したOSを使い続けることのリスクについて、お分かりいただたでしょうか。
OSのサポート期間はものによって違いますが、サポート期間終了後における脆弱性によるリスクはどれも恐ろしいものです。皆さまも日ごろからOSのアップデート、サポート期限には重々注意してお過ごしください。

紹介:今後のCentOSの移行先について

OSサポートの重要性について紹介してきましたが、サポートの方針は各開発者に依存しています。最近では、「CentOS」最新バージョンである「CentOS 8 」のサポート期限を2029年5月末から2021年12月末に大幅短縮するという方針を発表しました。(2020年11月発表)無償OSは開発者の方針を反映しやすいという性質が大きく出たニュースでした。

「CentOS」はウェブサーバーでTOPシェアを誇るOSでしたので弊社WADAXでも提供しておりました。WADAXでは、今後このようなことがないように有償サポートによる高い信頼性を持った「Red Hat Enterprise Linux」を推奨します。

今後、弊社サーバーサービスのWADAXでは「Red Hat Enterprise Linux」を推し進めていけるようなお得なサービスや情報を提供予定です。乞うご期待ください。

INFO
脆弱性とは
コンピューターにおける情報セキュリティ上の欠陥のことを指します。
OSにはプログラムの不具合や設計上のミスが潜在的にいくつも存在します。悪意ある人間によって悪用されると不正アクセスやウイルス感染、サービス停止などさまざまな危険性があります。

オープンソースとは
ソースコードを商用、非商用の目的に問わず利用、修正、配布することを許し、それを利用する個人や団体の努力や利益をさえぎることがないソフトウエア開発の手法を指します。

Linux ディストリビューションとは
OSの中身は、OSのコアとなる部分とソフトウエアの組み合わせで構成されています。その組み合わせ方を変えて利用者が簡単に利用できるように再構成したものをLinuxディストリビューションと呼びます。

この記事を書いた人

WADAXチーム

WADAXはNO!と言わない『サポート』を心がけています。
また、その他にもお客さまのサーバーの監視復旧対応やセキュリティ管理などの保守運用業務を代行する『マネージドサービス』にも力をいれております。

このブログでは、知識や情報を発信するとともに、WADAXのナレッジセミナーを開催していきたいと考えております。

GMOクラウドアカデミーYouTubeチャンネルはこちらから

アカデミー用バナー

メルマガ会員募集中!

アカデミーの最新情報や会員限定のお得な情報をお届けします。

メルマガ登録はこちら