そのサポート切れ製品、拡張セキュリティ更新プログラムだけで本当にセキュリティは大丈夫？

サポートが終了したマイクロソフト製品に対して提供される、Windowsの拡張セキュリティ更新プログラム（ESU：Extended Security Updates）というものがあります。最近このESUに関して、次のような疑問を耳にすることがありました。

ESUを使っていれば、サポートが終了した製品を安全に使い続けられるのでしょうか？
また、サポート期間内に提供される定期更新プログラムとESUでは何が違うのでしょうか？

今回はこのような疑問にお答えしていきたいと思います。

ESUとは？

対してESUは"緊急"または"重要"に分類される脆弱性に対してセキュリティ更新プログラムが提供されます。つまり、ESUはWindowsの定期更新プログラムと異なり、一部の脆弱性については対処されません。そのような状況でありつつも、サポートが終了した製品にESUを適用し継続利用されるケースはしばしば見受けられます。ESUを適用したサポート終了製品の継続利用は本当にセキュリティが十分といえるのでしょうか。

ESUで対処されない脆弱性

Microsoft製品に見つかった脆弱性は、Microsoft Security Response Centerの決める定義によって分類されています。

下記にMicrosoftの定義を日本語訳したものを引用します。なかなか理解しづらい部分もあるため3列目に脆弱性の例を掲載しました。今回ポイントとなるのは、"緊急"および"重要"に分類される脆弱性のため、"中"や"低"に分類される脆弱性例は割愛しています。

評価：緊急
説明	ユーザーの介入なしにコードが実行される可能性がある脆弱性。これらのシナリオには、自己増殖型マルウェア（ネットワーク ワームなど）や、警告やプロンプトなしでコードが実行される避けられない一般的な使用シナリオが含まれます。これは、Webページを閲覧したり、電子メールを開いたりすることを意味します。 Microsoftは、重要な更新プログラムをすぐに適用することをお勧めします。
脆弱性例	・Zerologon（CVE-2020-1472） Active Directoryのユーザー認証に使われるNetlogonプロトコルの暗号化処理における実装の不備により、ドメイン管理者権限を取得可能になる脆弱性*1。 脆弱性の悪用を非常に簡単に行うことが可能なため実際に積極的に攻撃に悪用されました*2。 また、Active Directoryは多くの企業で幅広く利用される製品であり、なおかつ組織のユーザーを管理している製品ですから、この脆弱性の悪用による影響度は非常に大きなものになります。
評価：重要
説明	悪用すると、ユーザー データの機密性、整合性、または可用性、または処理リソースの整合性または可用性が侵害される可能性がある脆弱性。これらのシナリオには、プロンプトの来歴、品質、または使いやすさに関係なく、クライアントが警告またはプロンプトで侵害される一般的な使用シナリオが含まれます。プロンプトや警告を生成しない一連のユーザー アクションについても説明します。 マイクロソフトは、重要な更新プログラムをできるだけ早い機会に適用することをお勧めします。
脆弱性例	・Follina（CVE-2022-30190） Microsoft Support Diagnostic Tool（MSDT）に存在する脆弱性で、攻撃者に任意コードが実行され遠隔操作を許してしまう脆弱性です。 実際に悪用も多数確認されており、攻撃者がこの脆弱性を悪用し細工したWord文書をメール等で送り付け、ユーザーが誤ってWord文書を開いた場合に遠隔操作を攻撃者に許してしまいます*3。 なお、マクロ機能を有効にしていない場合でも、ファイルエクスプローラーでプレビュー表示しただけでもこの脆弱性の影響を受けます*4。 先程のZerologonと比較するとユーザーの操作が必要な点、危険度が一段落ちるとはいえ遠隔操作が可能となる危険な脆弱性です。
評価：中
説明	この脆弱性の影響は、認証要件やデフォルト以外の構成への適用性などの要因によって大幅に軽減されます。 マイクロソフトは、セキュリティ更新プログラムの適用を検討することをお勧めします。
評価：低
説明	脆弱性の影響は、影響を受けるコンポーネントの特性によって包括的に軽減されます。マイクロソフトは、影響を受けるシステムにセキュリティ更新プログラムを適用するかどうかを評価することをお勧めします。

引用：Security Update Severity Rating System

*1 【注意喚起】Windowsとネットワーク管理者権限を一撃で乗っ取る、脆弱性「Zerologon」対策について

*2 【セキュリティ ニュース】脆弱性「Zerologon」の悪用確認 - 侵害封じ込めが困難に、影響多大のため早急に対策を（1ページ目 / 全2ページ）：Security NEXT

*3 悪用多発のゼロデイ脆弱性「Follina」　外部の研究者が危険性指摘、Microsoftの対応巡り批判も：この頃、セキュリティ界隈で（1/2 ページ） - ITmedia NEWS

*4 【セキュリティ ニュース】「MSDT」にゼロデイ脆弱性「Follina」 - MSが回避策をアナウンス（1ページ目 / 全2ページ）：Security NEXT

定期更新プログラムでは見つかったすべての脆弱性に対処されますが、ESUでは中、低に分類される脆弱性には対処しません。この時点で、ESUは定期更新プログラムと比較するとセキュリティはやや低いと言えます。また、ここで注意が必要なのは、ESUには「（1）"緊急"と"重要"の両方について対処される場合」と「（2）"緊急"に分類される脆弱性のみに対処される場合」があり、対処される脆弱性が製品によって違う点です。（1）の場合 "中"、"低"に分類される脆弱性が対処されないことになりますが、（2）の場合はそれに加えて"重要"に分類される脆弱性についても対処されないことになります。

上の表では発表された当初、話題になっていた脆弱性を一例として取り上げていますが、「CVSSでどれくらいまでの脆弱性が"重要"に入ってくるのか」、あるいは「悪用が確認されているものやPoCが公開されているものでもESUによって対処されない可能性がある"重要"に入ってくるのか」など、全体的な傾向がみえません。そこで、以降では「セキュリティ更新プログラムガイド」から約1年分のデータ抽出を行い、CVSSや悪用の有無、PoC公開の有無の観点で、ESUでどれほど危険度の高い脆弱性に対処できるのかについて調査を行いました。

（1）"緊急"と"重要"の両方に対処される製品の場合

直近約1年分のデータの脆弱性を分析したところ、悪用が確認されている、もしくはPoCが公開されているといった危険度の高い脆弱性は"緊急"もしくは"重要"に分類されており、ESUによって対処される状態でした。しかし、CVSSを確認してみると、抽出したデータ内では最大8.3以下^*5の脆弱性は中・低に分類されており、ESUは提供されていませんでした。

*5 調査対象とするデータの期間によって値が前後する可能性は十分にありますのであくまで参考値としてご覧ください。

（2）"緊急"のみ対処される製品の場合

悪用やPoCが確認されている一部の脆弱性についてESUは提供範囲外でした。また、悪用やPoCは確認されていないものの、CVSS 9.0以上となるような比較的危険度の高い脆弱性の一部がESUの提供範囲外でした。

おわりに

（2）"緊急"のみ対処される製品の場合については、危険度の高い脆弱性であってもESUで対処されないことがあるため、上記の緩和策に加えて脆弱性が見つかっている機能やサービスの停止等を検討する必要があります。

サポートが終了した製品にESUを適用すればそれで十分であるかのように思えますが、実はすべてのリスクに対処されず一部の製品では危険度の高い脆弱性が残存してしまいます。原則として、サポートが終了した製品は使用を中止しサポート中の製品に移行すべきですが、どうしてもESUを適用しなければならない場合は、上に示した対応が必要になります。より具体的な緩和策や回避策にお困りの際は、ラックのセキュリティアセスメント部までお問い合わせください。

補足

（1）"緊急"と"重要"の両方に対処される製品の場合か（2）"緊急"のみ対処される製品の場合かは以下のURLから確認することができます。

製品ライフサイクルに関する FAQ - 拡張セキュリティ更新プログラム | Microsoft Learn