• 会員限定
  • 2021/10/28 掲載

JRのサイネージに「Windows 2000」、これはセキュリティリスクなのか?

記事をお気に入りリストに登録することができます。
2021年10月10日、トラブルで再起動したJR駅構内のサイネージに表示された「Windows 2000の起動画面」がSNSで拡散された。サイネージやキオスク端末のエラーや障害時によく投稿される類のものだが、コメントでは「古いWindowsの利用はセキュリティリスクだ」という意見と「いやイントラネットなので問題ない。むしろ安全」という意見に分かれた。どちらが正しいのだろうか。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
Windows 2000のサイネージは危険か?
(Photo/Getty Images)

IoT以前から業務システムに搭載されたWindows 2000

 2021年10月10日、変電所火災によって山手線や京浜東北線の運行がストップした。このときJR駅構内の運行案内サイネージがWindows 2000の起動画面になっていることがSNS等で話題になった。


 Windows 2000は名前が示すとおり、西暦2000年代の新しいOSになることを意識したものだった。系譜としては、マイクロソフトが開発したWindows OS(1.0~3.x)より、サーバ用途やマルチユーザーを強化したWindows NTの流れを組むものだ。Windows NTは、IBMが開発に深く関与したOS/2の開発者らによるOS。WindowsがPCのOSとサーバOSに分化する流れを作ったOSでもある。

 そのNTから、タスク管理やプロセス管理、ユーザー+デバイス等のアクセス制御機能に加え、サーバOSとしてネットワーク機能が強化されたWindows 2000は、Embedded(組み込み)用のバージョンも用意された。インターネットやIPネットワークにつなぎやすくしたことで、IoTという言葉ができる前から、POSシステム、業務専用機器、券売機、コンビニ端末、サイネージ(パブリックスクリーン)など高機能デバイスに採用されることも多かった。

 ちなみに、それまでのマイクロソフトは独自のLANプロトコルやネットワークを自社OSに実装しており、TCP/IPに準拠したアプリでもクセのあるRFCの実装をしていた。

「そんなOSで大丈夫か」という疑問

 2021年10月10日、変電所トラブルで再起動がかかったJR駅構内のサイネージは、まさにその応用事例の1つだったのだろう。これまでも、突発的な故障でブルースクリーンになったATM端末や券売機の画面がSNSなどにアップされることはあった。

 たまたま起きた障害のため、問題になるというよりはSNSのネタとして拡散される程度だったが、今回は電車が止まる、周辺で停電が発生するなど実害がある中、駅サイネージに潜む脆弱性が明らかになり、「セキュリティは大丈夫か」という声があがった形だ。

 IoTデバイスは、脆弱性とその対応がセキュリティ上の問題になることは、現在よく知られている。PCではないIoTデバイス・システムは、アンチウイルスソフトなどエンドポイントセキュリティの埒外にあったり、セキュリティアップデートやパッチ対応が困難だったりする。「サポートも止まった古いOSの利用は、交通インフラのシステムとして不適切」という指摘は間違っていない。事態を憂う意見はもっともだ。

画像
IoTデバイスのセキュリティは昨今大きな問題になっている
(Photo/Getty Images)

閉じたネットワークなので問題ないという反論

 しかし、これに対する反論もある。問題が指摘された案内サイネージは、JR内部のネットワークを利用しているため、一概に危険とは言えないという主張だ。OSそのものに脆弱性は残っているかもしれないが、そもそもインターネットにつながっていないので、外部からの侵入、ハッキングは起きない。

 組み込み機器などの専用機器は、メンテナンスフリーで長期運用されることが多い。枯れた技術でシステムの安定性を優先させるほうが合理的である。10年以上前の古いOSやプログラムで稼働するシステムは、制御系や組み込み系では珍しいことではない。

 これももっともな意見だ。WebカメラやWi-Fiルータ、複合機などの脆弱性が問題になるのは、それらがインターネットに接続されているからだ。インターネットにつながったシステムは、クローリングやShodanのようなデータベースを使うことができる。攻撃者は世界中の侵入可能なデバイスを遠隔で発見することができる。

 近年のボットネットは、パッチを適用していない市井のPCから、PC以外のIoT機器に主流が移りつつあるが、逆に言えば、インターネットにつながっていない機器はボットネットを構成しえないとも言えるわけだ。

 では、どちらの主張が正しいのだろうか?

【次ページ】守りが堅いシステムほど内部攻撃に弱い

関連タグ

あなたの投稿

関連コンテンツ

PR

処理に失敗しました

トレンドタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます