【概要】

　2023 年 1 月に Microsoft 社が提供している OS である Windows 8.1 のサポートが終了します。また、同社が提供する
Windows 7、Windows Server 2008、Windows Server 2008 R2 のサポート終了から 3 年が経過し、拡張セキュリティ更新プ
ログラム（ESU）のサポートも終了します。一般的にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行
われません。よって、脆弱性を悪用した攻撃による情報漏えいや意図しないサービス停止等の被害を受ける可能性が高くなりま
す。対象 OS を使用しているユーザは、速やかな最新版への移行等の実施が求められます。

　対象 OS は以下の通りです。

• 2023 年 1 月 10 日（米国時間）

Windows 8.1
Windows 7 ESU
Windows Server 2008 ESU
Windows Server 2008 R2 ESU

【サポートが終了するソフトウェア製品の継続利用に伴うリスク】

• Windows OS における 2021 年 7 月 ～ 2022 年 6 月末までの脆弱性の深刻度別割合について

全体の 26%（86 件）が最も深刻度の高いレベル III でした。

全体の 23%（58 件）が最も深刻度の高いレベル III でした。

全体の 25%（70 件）が最も深刻度の高いレベル III でした。

　これらから、2021 年 7 月から 2022 年 6 月までの期間においては、上記 OS で発見された脆弱性の約 2 割が深刻度の
高い脆弱性でした。また、深刻度の高いレベル III の脆弱性のうち、CVE-2021-34527（PrintNightmare）、CVE-2021-
34448、CVE-2021-33771、CVE-2021-31979 等については、悪用の事実が確認されており、特に CVE-2021-34527 は
ランサムウェアに感染させることを目的として悪用された事例が確認されています。

　サポートが終了した OS を使用し続け、仮に危険度の高い脆弱性が新たに発見された場合、製品ベンダによる修正等の対
応が期待できず、セキュリティリスクを解消することができなくなります。結果として、脆弱性を悪用した攻撃による情報
漏えいや意図しないサービス停止等の被害が生じる可能性が高くなります。

• サポートが終了した OS 上で稼動するサードパーティ製ソフトウェア

　OS のサポート終了による影響は、これら OS 上で稼動しているブラウザやメールソフトといったサードパーティ製のソフ
トウェア製品にも及びます。例えば、OS のサポート終了に伴い、その OS 上で動作するソフトウェア製品のサポートも終了
することが考えられます。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキ
ュリティ上のリスクを抱えることになります。

　そのため、図 4 を参考に、OS のサポート終了を見越してサードパーティ製のソフトウェア製品等の更新も実施するよう
にしてください。

図4：Windows 8.1 のサポート終了に向けた各種ソフトウェア製品の更新計画例

【根本的対策】

• サポートが継続している後継または代替の OS に移行する。

【関連ページ】

• 2023 年にサポートが終了する製品
  https://docs.microsoft.com/ja-jp/lifecycle/end-of-support/end-of-support-2023
  
  
• Windows 10 へのアップグレード:よくあるご質問
  https://support.microsoft.com/ja-jp/help/12435/windows-10-upgrade-faq
  
  
• 更新：Microsoft Windows 製品の Windows Print Spooler の脆弱性対策について (CVE-2021-34527)
  https://www.ipa.go.jp/security/ciadr/vul/20210705-ms.html
  
  
• Microsoft 製品の脆弱性対策について (2021 年 7 月)
  https://www.ipa.go.jp/security/ciadr/vul/20210714-ms.html

出典：独立行政法人情報処理推進機構(IPA)