サイバー攻撃の脅威は深刻化している。とりわけ22年2月以降は、ウクライナ情勢の悪化を受けて非常に強い感染力を持つマルウェア「Emotet(エモテット)」が急速に拡大。同年3月に実施された帝国データバンクのアンケート調査(図1参照)では、1年以内にサイバー攻撃を受けた企業が3割超という結果も出ている。

図1 サイバー攻撃の有無

全ての事業者が要注意!「CentOSサポート終了」がサイバーセキュリティーの危機を引き起こし得る理由*アンケート期間は2022年3月11~14日、有効回答企業数1547社 出所:帝国データバンク「サイバー攻撃に対する実態アンケート」 https://www.tdb.co.jp/report/watching/press/pdf/p220306.pdf
拡大画像表示

「問題は、小規模な企業でもサイバー攻撃の対象となっていることです」と指摘するのは、同じくサイバートラストの青山雄一執行役員だ。

「今や、1社だけでビジネスが完結していることはほとんどありません。たとえ小規模な会社でも、サイバー攻撃を受けた場合、サプライチェーン全体に被害が広がります。社名が公表されて社会的信用や取引先を失い、事業継続が困難になることも十分にあり得ます」(青山執行役員)

 実際、Emotetが猛威を振るい始めた22年2月には、大手自動車メーカーのサプライチェーンの1社がサイバー攻撃を受けたことで、翌3月にその自動車メーカーの国内全工場が操業停止に追い込まれた。原因が攻撃を受けたその会社自体ではなく、子会社のネットワーク機器の脆弱性にあったことも見逃せない。もはや、たとえパソコン1台、サーバー1台しかない事業所であっても、巨大なサプライチェーン全体に影響する重大なインシデントの発端となる可能性があるのだ。

 そのような状況において、メンテナンス更新が終了したOSを搭載する機器を放置することがどれほど危険か、想像に難くないだろう。

「SIer丸投げ」が生んだCentOSの寡占
利用実態がつかみにくいことも課題

 そもそもなぜ、サポートが終了してしまう可能性がある無償OSがこれほどまでに日本で普及したのか。鈴木執行役員は、ITベンダーやシステムインテグレーター(SIer)へシステムを丸投げする日本特有の事情が背景にあると指摘する。

「CentOSは、米Red Hatが提供する『Red Hat Enterprise Linux』(RHEL〈レル〉)の互換OSです。日本では、RHELを業務用サーバーにプリインストールして展開されることが多かったこともあり、大手ITベンダーやSIerがRHELに精通しています。事業者がシステム構築を丸投げすることが多いため、必然的にRHELのシェアが拡大していきました」(鈴木執行役員)

全ての事業者が要注意!「CentOSサポート終了」がサイバーセキュリティーの危機を引き起こし得る理由サイバートラスト
OSS/IoT事業統括
OSS事業推進本部 本部長
鈴木庸陛 執行役員

 しかし、RHELはサブスクリプション(定額制)モデルなので、ライセンスを増やすとコストがどうしてもかさむ。

「『ならば、ほぼ同等の機能を無償で使えるCentOSを利用すればいい』となるのは自然の流れです。新たなサービスを展開しようとしたら100台、1000台といった規模のサーバーを並べることもありますので、基幹システムと一部の主要サーバーはRHEL、他はCentOSを使うというのがこの10年のトレンドです」(鈴木執行役員)

 サポート終了を前にして問題となるのは、CentOSがどこにどのくらい入っているのかが把握しにくいことだ。「エンドユーザーである企業の情報システム部門はもちろん、場合によってはシステムを構築したSIerすら、CentOSの利用状況を把握できていない可能性もあります」と青山執行役員は警鐘を鳴らす。

「Windowsと違って、Linuxは画面を見てもOSの違いが分かりません。加えて、最近はサーバーの寿命が延びているため、導入当時のSIerの担当者も自社の情報システム担当も異動してしまい、CentOSの使用状況が把握されていないというケースも増えています」(青山執行役員)

全ての事業者が要注意!「CentOSサポート終了」がサイバーセキュリティーの危機を引き起こし得る理由サイバートラスト
マーケティング本部 本部長
青山雄一 執行役員

 CentOSが広く普及しているため、サーバーの構築方法など、関連する情報がネット上に充実していることも状況を複雑にしている。関係者が自力で、小規模なシステムやサービスをCentOSで構築して運用を始めたものの、アップデートはしないまま放置されているケースも多いという。

「CentOSに限ったことではありませんが、広く使われれば使われるほど、脆弱性は増えていきます。以前はよく『Linuxはウイルスにかからない』といわれましたが、それはユーザーが少なかったからです。実際、20年11月末にサポートが終了した『CentOS 6』は、その後3年間で2000件以上の脆弱性が報告されています(図2参照)」(青山執行役員)

図2 CentOSサポート終了後に判明した多数の脆弱性

 単純計算で1日1.8件以上。CentOS 6のユーザーであれば、これまではメンテナンス更新が行われているCentOS 7に移行すれば良かったが、24年7月以降はそれもできなくなる。まさに、雨のように矢が降る中へ丸腰で出ていくのに等しい状態であり、いつ致命傷を負ってもおかしくない状況となっているのだ。

 こうした事態に、どう対応すればいいのか。鈴木執行役員は、二つの選択肢があると説明する。