Windows Server 2012 および 2012 R2 のサポート終了に伴う注意喚起
【概要】
2023 年 10 月に Microsoft 社が提供している OS である Windows Server 2012 および 2012 R2 のサポートが終了します。一般的
にサポート終了後は新たな脆弱性が発見されても、製品ベンダによる修正が行われません。よって、脆弱性を悪用した攻撃による情
報漏えいや意図しないサービス停止等の被害を受ける可能性が高くなります。対象 OS を使用しているユーザは、速やかな最新版へ
の移行等の実施が求められます。
2023 年 10 月 10 日(米国時間)をもって、Windows Server 2012 および 2012 R2 のサポートが終了しました。現在も対象 OS を
利用している場合は、速やかにサポートが継続している製品へ移行してください。
対象 OS は以下の通りです。
2023 年 10 月 10 日(米国時間)
Windows Server 2012
Windows Server 2012 R2
【サポートが終了するソフトウェア製品の継続利用に伴うリスク】
Windows Server 2012 および 2012 R2 における 2022 年 7 月 ~ 2023 年 6 月末までの脆弱性の深刻度別割合
について
図1:2022 年 7 月 ~ 2023 年 6 月に JVN iPedia に登録された
Windows Server 2012 および 2012 R2 の脆弱性(合計 428 件)
全体の 4.4%(19 件)が最も深刻度の大きい「緊急」でした。
上図脚注1で示す 2022 年 7 月から 2023 年 6 月までの期間においては、対象 OS で発見された脆弱性の約 8 割が深刻度の大きい脆弱性でした。また、深刻度の大きい「緊急」および「重要」に相当する脆弱性のうち、CVE-2022-30190(Follina)、CVE-2022-
41040 および CVE-2022-41082(ProxyNotShell)、CVE-2023-23397 等については、APT 攻撃に悪用された事例が確認されていま
す。
サポートが終了した OS を使用し続け、仮に危険度の高い脆弱性が新たに発見された場合、製品ベンダによる修正等の対応が期待で
きず、セキュリティリスクを解消することができなくなります。結果として、脆弱性を悪用した攻撃による情報漏えいや意図しない
サービス停止等の被害が生じる可能性が高くなります。
【サポートが終了した OS 上で稼動するサードパーティ製ソフトウェア】
OS のサポート終了による影響は、これら OS 上で稼動しているブラウザやテキストエディタといったサードパーティ製のソフトウェ
ア製品にも及びます。例えば、OS のサポート終了に伴い、その OS 上で動作するソフトウェア製品のサポートも終了することが考え
られます。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキュリティ上のリスクを抱
えることになります。
そのため、OS のサポート終了を見越してサードパーティ製のソフトウェア製品等の更新も実施するようにしてください。
図2:Windows Server 2012 および 2012 R2 のサポート終了に向けた各種ソフトウェア製品の更新
計画例
【根本的対策】
・サポートが継続している後継または代替の OS に移行する
・後継または代替の OS 上で動作するソフトウェア製品に移行した上で動作検証を行う
【脚注】
| 脚注1 | 本深刻度別割合は CVSS v2 から CVSS v3 の基本値をもとに算出するよう変更しました。また、CVSS v3 の深刻度別色分けに |
| ついても、深刻度の大きさが把握しやすいよう、従来のものから見直しを行っております。 |
【関連ページ】
・2023 年のサポート終了
・Windows Server 2012 および 2012 R2 のサポート終了
・Microsoft 製品の脆弱性対策について (2022 年 11 月)
出典:独立行政法人情報処理推進機構(IPA)