実際に仕掛けられるサイバー攻撃の技術的な観点からも、EOSを迎えたOSの危険性は増しており、BYOVD攻撃によりランサムウェア攻撃の踏み台になるリスクがある。
「BYOVD(Bring Your Own Vulnerable Driver)」とは、脆弱性を含む正規のドライバーを用いてシステムを乗っ取る手法であり、国内大手飲料メーカーに攻撃を仕掛けたランサムウェアグループ「Qilin」もこの手法を用いている。
近年のOSはドライバーのデジタル署名を厳格に要求するが、署名されていても脆弱性が含まれる古いドライバーが存在する場合がある。古いドライバーの脆弱性を悪用すると、セキュリティ対策ツールのプロセスを停止することが可能になるため、EDR(Endpoint Detection and Response)等を停止させる手法として用いられる。
多くのドライバは正当なものであり、悪意を持ったプログラムではない。その中から脆弱性を持つものを特定することは困難ではあるが、脆弱なドライバのブロックリストがマイクロソフトから提供されており、Windows11 2022アップデート以降であれば、この機能はデフォルトで有効になっている。
当然、ESU契約の無いWindows10に対してこういった脆弱なドライバのブロックリストが提供されることはない。攻撃者もこういった弱点は認識していると考えられるため、BYOVD攻撃が可能なWindows10はランサムウェア攻撃の踏み台になるリスクがある。
経営層が今すぐ指示すべきアクション
以上のデータと法的リスクを踏まえ、CxOは直ちに以下の確認を指示すべきである。
◎自社IT資産の棚卸し:
推計データが示す通り、Windows10端末が残存している可能性は高い。また、無断で持ち込まれている機器(シャドーIT)がWindows10を利用している可能性もある。IT資産の棚卸しを行い、自社でのWindows10稼働状況を把握する。
なかでも、Windows11への移行要件を満たすことのできないパソコンはBYOVD攻撃に対して脆弱になるリスクが高いため、優先度高く移行することを推奨する。また、シャドーIT化しているWindows10の抽出には、ネットワークトラフィックからWindows10動作機器を特定するようなソリューションも有効だ。
◎サードパーティ製品のEOS状況調査:
Windows10をESU契約を利用して継続利用する組織もあるだろう。そういった場合にはWindows10上で動作しているサードパーティ製の製品についてもいつEOSになるか調査しておく必要がある。
◎ネットワーク層におけるセキュリティ対策の適用:
即時の移行が困難な端末については、端末OSに依存しないネットワーク層でのセキュリティ対策の導入、例えばDNSレベルでの危険なサイトへのアクセス遮断などを用いることで、レガシーOSに対する暫定的なセキュリティ対策を実装する。こういったネットワーク層におけるセキュリティ対策は機器に依存しないためプリンターや監視カメラ等のIoT機器に対しても有効である。
◎移行阻害要因の特定:
予算不足か、リソース不足か、あるいはレガシーシステムとの互換性か。ボトルネックを特定し、経営判断でリソースを配分する。
