なぜサポートが終了した Web ブラウザーを使うと危険なのか?


前回の記事でも紹介させていただいたように来年 (2016) の 1 月 12 日をもって、IE9 以前の Internet Explorer はサポートが終了します。

image

しかし、機能が停止したりするわけではありませんので、事情を知らないユーザーはそのままサポートが切れたバージョンの Internet Explorer を使用し続けてしまう可能性があります。もしくは、サポートが切れていることを知っていても、アップグレードが面倒でそのまま使用し続けてしまう人もいるでしょう。

しかし、それは非常に大きなセキュリティ的なリスクを背負うことになります。

それでは、サポート期間の過ぎた Internet Explorer = ソフトウェアを使用し続けることはなぜ危険なのでしょうか?

今回は、既にさまざまなところで語られ、誰もがなんとなーく知っているはずの、サポート期間の切れたソフトウェアを使用し続ける危険性について、 初心者むけでなく、詳しい人向けに Internet Explorer を例に詳しく紹介します。

 

そもそも ”サポート期間” とは?

サポート期間とは、メーカーが出荷された製品に対し、ユーザーからの問い合わせの対応や不具合修正、新機能の追加といった、さまざまなケアを行う期間です。

マイクロソフトではサポート期間の全体をサポート ライフサイクルと呼び、その期間は 2 に分けられます。前半のフェーズをメインストリーム サポート フェーズ、後半のフェーズを延長サポート フェーズと呼んでいます。

この 2 つのフェーズについて簡単に説明しましょう。
(※)ここから、マイクロソフトのサポート フェーズついて紹介しましすが、興味がない方は「サポート期間が終了すると」に読み進んでください。

 

メインストリーム サポート フェーズ

メインストリーム サポート フェーズでは、製品の使い方などについての問い合わせ、いわゆるインシデント サポート (無償サポート有償サポート時間制サポート) およびセキュリティ更新プログラム サポートが提供されます。また、契約によってはセキュリティ関連以外の修正プログラムを要求できたりもします。

メインストリーム サポートフェーズの期間は、ビジネス、開発者向け、コンシューマー向け、オンライン製品とで詳細が異なりますが、Windows の場合は最低でも 5 年間はメインストリーム サポートが提供されます。

メインストリーム サポートが終了すると、 延長サポート フェーズに入ります。

 

延長サポート フェーズ

延長サポートフェーズでは、新機能の追加や、無償サポートはなくなりますが、有償サポートとセキュリティ更新プログラム サポートは引き続き提供されます。

延長サポートフェーズも、ビジネス、開発者向け、コンシューマー向け、オンライン製品とで詳細が異なりますが、Windows の場合はメインストリーム サポートと同様に最低でも 5 年間は延長サポートが提供されます。

なお、延長サポート フェーズは、一般ユーザー向け製品、ハードウェア製品、またはマルチメディア製品に対しては適用されませんので注意が必要です。

マイクロソフトのサポート ライフサイクルについては、以下のページで詳しく紹介されていますので、ぜひご覧ください。

 

サポート期間が終了すると

サポート期間が終了すると、有償、無償問わず、サポート期間中に提供されていたさまざまなサービスがすべて利用できなくなります。

たとえば、使用方法についての問い合わせもできなくなりますし、製品の不具合を報告しても、サポートが終了したバージョンについては修正は行われません。

なにより大きいのはセキュリティパッチが提供されなくなることでしょう。サポート切れの製品を使用する際の最大のリスクはここにあると言っても過言ではありません。とくに、インターネットに接続する Web ブラウザーにとっては致命的です。

セキュリティパッチとはなんなのか?、それが提供されないとなぜ困るのか?、について簡単に説明しましょう。

 

セキュリティパッチと Windows Update

さまざまな技術の進歩により、コンピューター上のデータはもちろん、プログラムやプロトコルの詳細な解析が以前よりも簡単になった結果、それらについての脆弱性も発見しやすくなりました。

ここでいう脆弱性とは、セキュリティ的な弱点となる不具合や仕様上の問題点です。自宅に鍵のかからないドアがあるとイメージするとわかりやすいかもしれません。

これら脆弱性に関する情報は、メーカーが見つけた場合には修正を行うことで製品の安全性向上に役立ちますが、第三者が見つけた場合には悪用される場合があります。

ソフトウェア製品の出荷後に脆弱性が見つかった場合に、それらを修正する目的で提供されるのがセキュリティパッチです。

マイクロソフトでは、毎月定期的に行われる Windows Update を利用してセキュリティの更新を行っていますが、深刻な脆弱性が見つかった場合には緊急パッチをリリースします。

Windows Update では、セキュリティパッチの配信だけでなく Windows 既定のアンチウィルス ソフトウェアである Windows Defender (旧 Microsoft Security Essentials ) の定義ファイルの更新や、ソフトウェアの不具合修正、機能追加なども行われます。

Windows Update はまさに Windows の恒常性を保つための仕組みであり、セキュリティパッチは、その中の免疫系といえるでしょう。

サポート期間が終了すると、Windows Update によるアップデートは行われなくなります。つまり、サポート期間が終了した Windows 関連のソフトウェアははこうした恒常系を保つための仕組みから外れることになります。

たとえば、来年 (2016) の 1 月 12 日以降、Windows 7 上で Internet Explorer 8 を使用していた場合、Windows 7 に対して行われる Windows Update に Internet Explorer 8 に関するものはいっさい含まれなくなります。

また、サポート期間が終了した製品が Windows そのものだった場合は、土台となる OS 自体が恒常性を保つための仕組みを失うことになるので、その上で動作するその他のソフトウェアが最新であっても、使用に関しなんらかのリスクを負うことになります。また、メーカーのサポートの対象とならない可能性もあります。

 

サポート期間が終了した Web ブラウザーを使用する危険性

サポート期間が終了し、セキュリティパッチが提供されなくなると、新たに脆弱性が見つかってもそのまま放置されることになり、悪意ある第三者の侵入や攻撃をみすみす許すことにつながります。

これは、自宅に修理不能な鍵のかからないドアがあり、それを多くの泥棒が既に知っている(※)とイメージするとわかりやすいかもしれません。
(※)脆弱性の情報はさまざまなところで公開されています。

昨年 (2014) サポートが終了した、Windows XP が稼働しているコンピューターはまさにこの状態であるといえるでしょう。たまに「Windows XP 使っているけどぜんぜん平気」いう方がいらっしゃいますが、それはたんに、鍵のかからない家にまだ泥棒が入っていないだけか、既に入られているのに気が付かないかのどちらかに過ぎず、けして安全であるとは言えません。

Web ブラウザーも同様です。とくに Web ブラウザーはインターネット上にあるマークアップやスクリプト、プラグインなど不特定多数の 動的な処理 の対象となるデータを扱うため、マルウェアへの感染など、最もリスクが高まるといっても過言ではないでしょう。

 

マルウェアとは

マルウェア(Malware)とは、コンピューターウィルスやワームといった、コンピューターやその使用者に害をなす目的で作られた悪質なコードの総称です。

マルウェアによる影響は、種類によってさまざまですか、クレジットカード番号やアカウント情報、第三者の閲覧を想定していないプライベートな写真や動画といった個人情報の盗難や流失、遠隔操作、DOS 攻撃の踏み台や、ページの改ざん、コンピューターの破壊など、ソフトウェアの技術を用いて悪事をなすにおいて考えうる邪悪な行為のすべてが網羅されます。

これらマルウェアの分類については、日本ネットワークセキュリティ協会(JNSA) のページにわかりやすく記載されていますので、ぜひご一読されることをお勧めします。

 

Web 感染型ウイルス

マルウェアには、「Web 感染型ウイルス」と呼ばれる Web サイトを閲覧するだけで感染するものがあり、近年ではこれを利用した「ガンブラー」というものが猛威を振るい、さまざまなところで大きな被害を出しました。

「ガンブラー」とは、ガンダムのプラモデルのことではありません。前出の「Web 感染型ウイルス」と「Web サイトの改ざん」を組み合わせて、数多くのコンピューターにウィルスを感染させようとする攻撃手法です。英語では Gumblar と書きます。

ガンブラーは特定のウィルスではないため被害状況も様々です。ニュース記事では、有名企業や政党の Web サイトの改ざんなどが話題になりましたが、それ以外にも一般ユーザーの多くがウィルスに感染しており、気づかないうちに情報を盗まれていた可能性もあります。

ガンブラーについては、情報処理推進機構 (IPA) の以下のページに概要、手口、被害、対策がよくまとめられておりますのでぜひご覧くださいませ。

マルウェアの及ぼす脅威の性質は、テロリストが家族を人質に取っておよそ実現不可能な無茶な要求を突きつける (たとえば、TVチャンピオンの大食い王決定戦に飛び入り参加して三位以内に入賞しろ、など)といったような、分かりやすいものではなく、不可知の領域でひっそりと行われる性質のため、被害を被って初めて気が付くといったことがほとんどです。

 

マルウェアの脅威から身を守るには

マルウェアからコンピューターを守るには、脆弱性をできるだけ早く解消していくことが重要です。

使用しているソフトウェアに脆弱性が残ったままではアンチウィルスソフトもそれほど有効ではありません。アンチウィルスソフトが検出できるウィルス プログラムは、パターンファイルに情報があるか、検出ロジックに合致するものだけであり、特定の脆弱性を狙ってくるすべてのウィルス プログラムを検出できるわけではないからです。

前述したとおり、Windows OS の脆弱性の解消は Windows Update によって行われます。これは Windows 本体だけでなく Edge や Internet Explorer、Office 製品なども含まれます。

これら製品”以外”のソフトウェアは個別にアップデートを行う必要があります。たとえば、Adobe さんの Flash プレイヤーには最新版やセキュリティパッチのリリースを通知し、アップデートを行う機能が搭載されていますので、こういったものを利用します(※)。
(※)こうしたインストーラーの中には、不必要なソフトウェアのインストールまで行うものもあるので、インストーラーを操作する際には十分に注意してください。

こういったソフトウェアのアップデートは可能な限り早く適用することをお勧めします、

しかしながら、企業の IT 管理者の立場からすると、これらソフトウェアのアップデートについては、管理しているシステムで検証を行い、正常動作がきちんと確認できない限りは適用できないということもあるでしょう。

しかし、Code Red のときのように、セキュリティパッチの適用を先延ばしにしたがために甚大な被害を被るということも考えられます(※)ので、セキュリティパッチの「緊急度」をご考慮のうえ充分判断していただければと思います。
(※)ちなみに Code Red 発生当時、私は別の会社で Windows 2000 Server + IIS で Web サーバーを運用していましたが、全てのサーバーにセキュリティパッチを適用していたのでなんともありませんでした。

また、サポートの終了した Windows XP 等を使用されている方は、すぐにでもサポート期間内にある OS にアップグレードすること強くお勧めします。

繰り返しになりますが、サポート期間が終了したソフトウェアを製品を使用しているということは、修理不能な穴の開いた家に住んでいるのと同じです。

Windows XP が稼働しているコンピューターを目の前にした悪意ある第三者の気持ちを、胸に七つの傷がある有名な漫画の主人公の言葉を借りて表すならば、「お前はもう、(※自主既定)でいる」といったところでしょう。

 

Web サイトを運営されている皆さまへ

冒頭で紹介しましたように、来年 (2016) の 1 月 12 日をもって、IE9 以前の Internet Explorer はサポートが終了します。

これらの Web ブラウザーは Web 標準の準拠度合も低く、HTML5 も動作しないレガシーブラウザーです。

よって、メーカーのサポート期間に準するのであれば、こうした古い Internet Explorer 向けに行ってきた特別な対応というのはしなくてもよくなるはずです。

たしかに、サポート期間が終了しても IE8 やそれ以前の IE を使用し続けるユーザーは、少ないながらいらっしゃることでしょう。

そういったユーザーの PV や広告のクリック数を失わないようにするために、いままでと変わらない品質のコンテンツを提供しなければという気持ちは理解できます。

しかし、そういった時代遅れのレガシーブラウザを手厚く保護すればするほど、ユーザーは不便を感じず、ブラウザーをバージョンアップしないままサポート期間の切れた安全でない Web ブラウザーを使い続けてしまうことでしょう。これはユーザーにとって非常にリスクの高いことです。

また、ユーザーがサポート期間の切れた Web ブラウザーを使い続けることは、Web サイト側にもリスクとなる可能性があります。

たとえば、想定外の事情により自社サイトの一部のページが、マルウェアを感染させるように改ざんされていた場合、それが古い陳腐化された攻撃の手法であったとしても、セキュリティパッチが提供されない古い IE では高い確率で被害を受けることでしょう。

つまり間接的に加害者になってしまうこともありうるのです。そういった事実があきらかになれば、Web サイトの運営にもなんらかのマイナスの影響を与える可能性があります。

 

ユーザー = たいせつなお客様のために

ここまで、Web サイトを閲覧するユーザーががサポート期間が終了した IE を使用していることについてのリスクを紹介してきましたが、もちろん、ただむやみに「サポートの切れた古い IE 向けの対応をすべきでない」と言いたいわけではありません。

ご理解いただきたいのは、サポート期間の終了した古い IE に対し、いままでと同じような品質でコンテンツが閲覧できるように精一杯の労力を注いでケアをしても、それはユーザーのためにはならないということです。

もし、自分のサイトを訪問してくださるユーザーを大切なお客様であると捉えられているならば、サポート期間が終了した IE を使用しているユーザーに対しては、ブラウザーのアブグレードを促すなんらかのメッセージを出していただければと思います。

このブログの記事でも 2016 年 1 月 12 日でサポート終了となるバージョンの Internet Explorer でアクセスすると、その旨をひかえめに教えてくれるバーを表示するスクリプトのサンプルコードを公開してしますので、よろしければぜひご利用いただければと思います。(※このページにも実装されています。)

 

まとめ

今回の記事では、サポート期間が終了した Internet Explorer を使用するとなにが危険なのか?、どう危険なのか? について紹介しました。

記事で紹介したように、コンピューターが常時インターネットにつながり、信用が担保できない不特定多数のさまざまなサイトと情報をやり取りしている現在、メーカーからのセキュリティパッチを含むアップデートを継続的に受け取れることは非常に重要です。

とくに、Web に関しては、ブラウザーそのものとは関係なく、SSLcookie といった長年使用されている技術の仕様自体に脆弱性が見つかっており、これらを個人が全て把握して対策を施すというのは現実的ではなく、そもそも、そういた労力を注いでまでサポート切れの製品を使わなければならない理由はないでしょう。

また、マルウェアやハッキングについても日々新しい手法が生み出され、それを防ぐ側とのイタチごっこが続いています。

インターネットにおける脅威というものは、宇宙空間から異星人が攻めてくる、といったような絵空事ではなく、現実に目の前存在し、今まさにお使いのコンピューターがそれを防いでいる状態のものです。

これらハッキング、マルウェア、インターネット関連の脆弱性についての情報は、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)独立行政法人情報処理推進機構 (IPA) のページで公開されているのでぜひまめにチェックされることをお勧めします。

それから Internet Explorer のアップグレードをくれぐれもお忘れなく。

(あと、できれば Windows 10 にもね)

 

Real Time Analytics

Clicky

Comments (1)

  1. <関連>

    完全なる余談 : Internet Explorer の自動アップデートについて

    blogs.msdn.com/.../it-s-entirely-an-aside-about-ie-auto-update.aspx

Skip to main content