Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

スクリーンセーバーは語る

先日、海外のセキュリティ担当の方とお話する機会がありました。その時に盛り上がったのが、意外にもスクリーンセーバの話でした。

f:id:foxcafelate:20180914065932j:plain

 

その方は、外部企業の監査もされているのですが、脆弱性がある古いOSを短時間の監査で見つけるには、端末のスクリーンセーバーがポイントの1つとの事でした。

 

◆キタきつねの所感

この話、実はまったく同じ事を私もやっていたですが、要は・・・・こういうことです。

f:id:foxcafelate:20180914065509j:plain

企業の方は、「わが社の端末は全て最新のOSですから・・・」と言った事をセキュリティ担当(監査・視察)の方に言うのですが、ふと見ると、その辺で動いているPCのスクリーンセーバーが、、、私はWindowsXPですよと教えてくれているという事が結構あるのです。

PC更新の予算面や、システムやソフトウェアの制約条件で古いOSがある事は、企業によっては仕方がない事情があるかも知れません。

また、人的リソース不足で、内部監査をされている方も、なかなか自社の資産を把握しきれてないのかも知れません。あるいは、閉域網(クローズドネットワーク)であるから外部からの攻撃リスクは低いと判断されて、古いOSのPCも大丈夫と考えているのかも知れません。

 

しかし、昨年のWannaCry騒動を含め、そうした古いOSの脆弱性を攻める事を目的として作られたランサムウェアが猛威を振るっている以上、古いOSのPCは、少なくても棚卸し(企業側が把握)しておくべき、その1点において(少なくても)前述の海外の専門家の方とは意見が一致しました。

foxsecurity.hatenablog.com

スクリーンセーバー・・・内部の方は毎日見慣れてしまっているので、その画面が外から見るとどう映るのかを理解してません。Windowsの標準スクリーンセーバーはOSによって癖があるので、その差分を知っている人から見るとOSバージョンまで分かってしまいます。

 

今や企業の端末では見ることは無いとは思いますが、Win98だと、こんな迷路もありましたし、

f:id:foxcafelate:20180914071835j:plain

同じくWin98で、こんなのもありましたね。

f:id:foxcafelate:20180914072001j:plain

 

その会社のセキュリティレベルを測る上では、例えばWindowsXP、Windows2003サーバ等のサポート切れOSが搭載された端末があるかは、1つのベンチマークとなります(私もコンサルでお邪魔する企業で古いOSを未だに見かける事があります・・・)。

 

2020年1月14日には、多くの企業で現役OSとして使われているWindows7の延長サポートが切れます

f:id:foxcafelate:20180914072531j:plain

ご存じですか? OS にはサポート期限があります! - Microsoft atLife

 

セキュリティリスクという点で考えた場合、攻撃者は脆弱性を隠し持って、マイクロソフトのサポートが切れた後に、その脆弱性をついて0ディ攻撃を仕掛けてくる可能性もあります。Windows2007問題という意味で言えば、実は1年半を切っている。この事をよく理解しておくべきかも知れません。

 

 

※因みにWindowsスクリーンセーバー・・・もし企業側が隠したい(監査員に対して)場合は、せめてバージョンが分かる標準のスクリーンセーバを使わない事をお勧めします。

 

更新履歴

  • 2018年9月14日AM(予約投稿)