2025年10月サポート期限のWindows 10、最長3年の有償延長サポート提供

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 12/6号 目次 –

01. 2025年10月サポート期限のWindows 10、最長3年の有償延長サポート提供


02. 退職者が元勤務先に不正アクセス、取引先に中傷メールで逮捕


03. 小・中学校向けアンケート回答者情報が外部から閲覧可能な設定に

2025年10月サポート期限のWindows 10、最長3年の有償延長サポート提供

– 12月5日(現地時間)、マイクロソフト(以下・MS)より、2025年10月14日に無償サポート終了となるWindows 10に対し、有償の延長サポート「Extended Security Updates(ESU)」を提供することが発表されました。

– ESUはWindows 7に対し2020年1月の一般サポート終了から2023年1月まで、また今年10月にサポート終了したWindows Server 2012(および2012 R2)に対しても2026年10月まで提供されており、10も同様に2028年10月までの3年間、年単位での更新で提供される予定です。

– 一方、先だって11月21日(日本時間)のMSからの発表では、稼働中のPCのうち約2,000万台が「Windows 11にアップグレードできない」ものとされ、減少ペースを鑑みても2025年のサポート終了時には約1,000万台のWindows 10使用PCが残るとする推測が出ています。

[ 出典 ]
https://www.itmedia.co.jp/pcuser/articles/2312/06/news127.html
https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates
https://www.bleepingcomputer.com/news/microsoft/microsoft-to-let-windows-10-home-users-buy-extended-security-updates/
https://www.itmedia.co.jp/news/articles/2311/21/news122.html

AUS便りからの所感 AUS便りからの所感

今回のMSの発表では個人向けにもESUが提供されることを示唆する記述があり、各種ネットメディア等でも取り上げられていますが、料金体系を含むより詳細な発表はサポート終了の1年前となる2024年10月頃に行われる模様です。

11への移行が順調ではなく、「お金を払えば引き続きWindows 10を使い続けられる」と飛びつく声は7のときよりもさらに増えることが考えられますが、ESUにかかる費用も決して手頃なものとはならないことが予想され、11に移行できないようなスペックのPCを今後2年間使い続けるよりは、十分な量のメモリとSSDを搭載した新しいPCへ無償サポート終了までに乗り換えられるよう計画することを強く推奨致します。

退職者が元勤務先に不正アクセス、取引先に中傷メールで逮捕

– 11月16日(日本時間)、警視庁より、不正アクセス禁止法違反容疑で元会社員の男を逮捕したと発表されました。

– 発表によれば、容疑者は4月まで都内の商社に勤務しており、6月に同社で使用していたクラウド型経費精算システムに不正にログインして経費精算情報等を奪取、また情報をもとに元勤務先の取引先に中傷メールを送ったとされています。

– 容疑者は同社の経理担当で、研修で使用していたテストアカウントが残っていたことにより、これを悪用してシステムへ不正ログインを行った模様です。

[ 出典 ]
https://www.sankei.com/article/20231127-E2Q5BZ22JJJ3TMZPJL7RVUMPTY/

AUS便りからの所感 AUS便りからの所感

システムへの不正ログイン時にはTor(アクセス元偽装用ツール)を用いていましたが、中傷メール送信時にこれを用いておらず、容疑者が使用していたIPアドレスがメール送信元と一致したのが逮捕の決め手になったとしています(IPアドレスは動的に変更されることもある一方、近年では同じIPアドレスを複数のISP契約者が共有するケースもあることに注意が必要です)。

特に社外のクラウド上にあるシステムについて、ID・パスワード以外の認証機構がなく、アクセス元の制限も行っていない場合、既に使用されていないアカウントを悪用される恐れがあることに十分に注意し、退職者に割り当てられていたアカウントの他、テスト・研修用途で複数名が使用するアカウントについても削除ないしパスワードの変更を行うよう厳密な管理を行うよう留意しましょう。

小・中学校向けアンケート回答者情報が外部から閲覧可能な設定に

– 12月1日(日本時間)、広島県東広島市の教育委員会より、同教委が実施したアンケートの回答状況がネット上で第三者から閲覧可能な状態になっていたと発表されました。

– アンケートは11月30日~12月1日に市立の小中一貫校にて全校生徒の保護者に対しオンラインで実施されたもので、回答した保護者の氏名・世帯の子供人数および46件という回答数が閲覧可能だったとされています。

– 生徒に配布したアンケート依頼文書に記載されたQRコードが編集者用のページのURLだったこと、およびアンケートのアクセス権限を「リンク先を知っている全ユーザー」がアクセス可能な設定に変更したことが原因とされ、12月1日に保護者からの指摘で発覚したとしています。

[ 出典 ]
https://newsdig.tbs.co.jp/articles/-/871082?display=1

AUS便りからの所感 AUS便りからの所感

アンケートは校内で「いじめ・体罰・セクハラがあったか」を問うもので、同教委と当該校が同日に校内説明会を開いて謝罪したとしている一方、回答内容の漏えいまではなかったとしています。

アクセス権限の変更は他の職員と回答状況の共有のためで、相手がオンラインサービスのアカウントを持っていなかったための対応とみられますが、それでも通常はURLを知らない第三者が推測することは理論上不可能と思われる中、別のミスによって情報の露呈に至る状況となっています。

オンラインで文書等を保存するサービスのアクセス権限設定について、既定で作成者のみアクセス可能、ないしグループや指定した相手にのみ共有するようになっているか常に確認、公開を意図した文書のみ明示的に公開設定に変更する運用とすることが重要です。