2025年10月14日(米国時間)に、Windows 10のサポートが終了。これに伴い、IPA(情報処理推進機構)が注意喚起を行っている。
サポート終了後は、新たな脆弱性が発見されても、製品ベンダーによる修正が行われない。よって、脆弱性を悪用した攻撃による情報漏えいや、意図しないサービス停止などの被害を受ける可能性が高くなるとしている。
同ソフトウェア製品の利用者においては、サポートが継続している後継製品、または代替製品への移行などの対応が望まれる。また、OSだけでなく、対象OS上で稼働するアプリケーションもサポートが順次終了していくため、併せて対策が必要だという。
対象OSは以下のとおり(2025年10月14日(米国時間))。
- Windows 10 Enterprise and Education
- Windows 10 Home and Pro
- Windows 10 IoT Enterprise
サポートが終了するソフトウェア製品の継続利用に伴うリスク
Windows OSにおける2024年1月~9月の脆弱性の悪用状況
CISA(Cybersecurity and Infrastructure Security Agency)により公開されているKEV(Known Exploited Vulnerabilities Catalog)によると、2024年1月から9月までに公開されたWindows OSの脆弱性の悪用を確認されたとする情報が、2024年9月時点で15件登録されているという。このことから、被害を受ける可能性が高いと考えられるため、Windows OSの脆弱性対策は適切に実施する必要があるとしている。
また、その中でもCVE-2024-26169については、ランサムウェアへ感染させることを目的に悪用されているとの情報(2024年9月時点)もあるとのことだ。
サポートが終了したOSを使用し続け、仮に危険度の高い脆弱性が新たに発見された場合、製品ベンダによる修正などの対応が期待できず、セキュリティリスクを解消することが不可能に。結果として、脆弱性を悪用した攻撃による情報漏えいや、意図しないサービス停止などの被害が生じる可能性が高くなるという。
サポートが終了したOS上で稼動するサードパーティ製ソフトウェア
OSのサポート終了による影響は、これらOS上で稼動しているブラウザやメールソフトといったサードパーティ製のソフトウェア製品にも及ぶという。たとえば、OSのサポート終了に伴い、そのOS上で動作するソフトウェア製品のサポートも終了することが考えられる。サポート終了後に発見された脆弱性については、修正が行われない可能性が高く、意図せずセキュリティ上のリスクを抱えることになるとしている。
そのため、図1を参考に、OSのサポート終了を見越してサードパーティ製のソフトウェア製品などの更新も実施するよう注意を促している。
根本的対策
サポートが継続している後継または代替のOSに移行する。
【関連記事】
・IPA、IoT製品のセキュリティ適合性を評価する制度開始へ 政府機関等で基準を満たした製品調達必須に
・IPAがAI利用時の脅威・リスクを調査 生成AI利用時のセキュリティ関連規則、策定済み企業は20%未満
・PHPの脆弱性を悪用した攻撃が急増、取り組むべき3つの対策──サイバーセキュリティクラウド
