2023 年 1 月 10 日以降、Windows 7、Windows 8、Windows 8.1、およびその派生製品である Windows Embedded および Windows Server 2008 R2 は Microsoft からパッチを受信しなくなります。数百万台のデバイスが「レガシー」となり、新たなレガシー セキュリティ リスクが発生することになります。
Windows 7のサポート終了、8/8.1のサポート終了
Microsoft の 2023 年 1 月のリリース ノートには、Microsoft の 3 つのオペレーティング システム (OS)、7、8、および 8.1 の最終パッチが含まれています。この動きは驚くべきことではありませんでしたが、それでも多くの IT チームは不意を突かれた可能性があります。
たとえば、Windows 7 は 3 年前に EOL (サポート終了) に入りましたが、Microsoft はビジネス ユーザーに Extended Security Update (ESU) と呼ばれる延長サポート パッケージを提供しました。
この「有料パッチ適用」サービスにより、Windows 7 を実行している組織は、システムを新しい OS バージョンに移行する際に重要なパッチを受け取ることができます。
現在、これらのオペレーティング システムの延長セキュリティ アップデートは正式に廃止され、延長サポートの可能性はありません。
Windows 7、8、および 8.1 とその組み込み派生製品のサポートが終了すると、現在 (2022 年 11 月時点で) 実行されているすべての Windows コンピューターのさらに 15% がオペレーティング システムのパッチを受信できなくなります。
レガシー オペレーティング システムはソフトウェア サプライ チェーン全体のリスクを増大させます
ベンダーのサポートがなければ、EOL およびサポートされていないオペレーティング システムを実行しているデバイスは、悪用可能な脆弱性の絶え間ない発生源となります。たとえば、2021 年には、新たに発見された脆弱性の 17% 以上が 5 年以上前の脆弱性でした。
脅威アクターは、現在のオペレーティング システム バージョンで見つかった脆弱性から逆戻りして、古いコンピュータを侵害する新しい方法を見つけることもできます。しかし、実際には、N-day エクスプロイトを悪用するパッチがリリースされるのを待っている攻撃者がさらに増えています。
OS 開発は反復的な性質を持っているため、新しいバージョンの Windows OS システムでベンダーによって発見され、パッチが適用された悪用可能な脆弱性が、古いバージョンでも発見されることがあります。これらの脆弱性は正式に修正されることはありません。
従来のオペレーティング システムとその上で実行されるアプリケーションにも、最新のアクセス制御がありません。これは侵入リスクの重大な原因です。Microsoft の調査によると、成功した Credential Stuffing 攻撃の 97% には従来の認証が関係しています。さらに悪いことに、Windows 8 および 8.1 の保護を Microsoft Defender に依存している企業にとっては、1 月 10 日以降、Defender はこれらのプラットフォームをサポートしなくなります。
組織がすべてのシステムを Windows 10 以降にアップグレードした場合でも、サプライ チェーンのどこかにレガシー機器が存在する統計的な可能性が依然として存在します。したがって、組織が EOL システムを実行していなくても、サードパーティおよび nth パーティのサプライヤーはおそらく EOL システムを実行しているでしょう。
従来のセキュリティの課題
Microsoft は、Windows 7、8、および 8.1 のパッチ サポートをキャンセルし、Windows Server 2008 R2 のサポートを停止し、2023 年 10 月に Windows Server 2012 のサポートを終了する予定であり、オフライン デバイスの憂慮すべき影響を示しています。
時代遅れのアプリケーションやシステムに依存するビジネスは、何十年も前から現実に存在しています。
ヘルスケアのような業界は、時代遅れのシステムに依存していることで有名です。XP パッチの終了から 5 年後の 2019 年、英国の医療システムが依然として数千の Windows XP エンドポイントを実行しているというニュースは多くの人に衝撃を与えましたが、驚いた人はほとんどいませんでした。
SANS Institute による 2022 年の調査では、OT および医療を含む重要なインフラストラクチャ組織で働く IT プロフェッショナルの 54% が、レガシー システムの統合とアップグレードがセキュリティ上の最大の課題であると回答しました。
製造、医療、金融、教育などの多くの組織にとって、アップグレードのためにレガシー機器をオフラインにすることは本質的に不可能です。
もう 1 つのよく知られた課題は、古い独自バージョンの Windows で実行されている MRI マシン ワークステーションなどのデバイスが EOL アプリケーションを隠したり、置き換えを妨げたりする可能性があることです。
Windows 7、8、8.1、および Windows Server 2008 R2 のサポートが削除されたことで、より多くのデバイスが「交換またはパッチが適用されていない」カテゴリに移動します。
残念ながら、レガシー デバイスにウイルス対策システムや EDR などのセキュリティ制御を実行するためのコンピューティング能力がある場合でも、スキャナーが最新の回避マルウェアを検出またはブロックできる可能性は非常に低い、互換性のある保護ソリューションを見つけることができます。これは、レガシー機器に依存する無数の組織が危険なほど安全でない環境に置かれており、攻撃にさらされる機会が劇的に増加していることを意味します。
レガシー オペレーティング システムを実行しているマシンは多くの場合、組織の中核となる運用バックボーンの一部であり、Web サーバー、金融取引、その他のビジネス クリティカルなアプリケーションを実行しており、リスクを増幅させます。Microsoft のサポートには組み込みオペレーティング システムが含まれているため、販売時点情報管理 (POS) システム、ATM、医療機器、産業用制御システム エンドポイントなどの重要な IoT および OT デバイスも公開されます。
効果的なレガシー セキュリティを実現できますか?
サイバーセキュリティ専門家なら誰でも知っているように、レガシー システムの保護は困難な課題です。レガシー システムは現在のシステムに比べてエネルギーが不足しているため、軽量のセキュリティ ソリューションが必要です。また、ソフトウェアとの互換性も必要です。この 2 つの要素により、EPP、EDR、XDR/MDR など、今日の業界をリードするセキュリティ ソリューションのほとんどが除外されます。(レガシー システムには、AMSI を介したスクリプト スキャンなど、EDR で使用される基本的なメカニズムがありません。)
Morphisec は、超軽量の保護を提供するソリューションであり、Windows 7、8、8.1、および Windows 2008 R2 のデバイスおよびサーバーと互換性があります。Morphisec Guard と Keep は、それぞれ、レガシー環境のエンドポイントとサーバーの保護と、既知および未知の高度な脅威に対するプロアクティブな保護を提供します。特許取得済みの Moving Target Defense (MTD) テクノロジーを使用することで、Guard と Keep は Raspberry Pi 上で実行でき、サプライ チェーン攻撃、ゼロデイ攻撃、ファイルレス/メモリ攻撃、ランサムウェアなどの最も有害なサイバー攻撃から保護しながら、ステルス攻撃を回避します。Gartner は MTD を「変革的」と呼んでいます。