Windows 7のセキュリティは本当に強固か？：ツールで脆弱性スキャンしてみる

Vistaよりも使いやすくなったMicrosoftの次期OS「Windows 7」。だがセキュリティ面はどうなのか？脆弱性スキャンツールやパスワードクラッキングツールを試してみた。

≫ 2009年07月23日 07時30分公開

[Kevin Beave，TechTarget]

　Windows 7のRC（リリース候補）は、先行OSに比べて高速かつ安定していることが実証されつつある。Windows Vistaがありとあらゆる困難を抱えていたのと比べると、Windows 7の使用感は全般的に、大幅に向上している。しかし、Windows 7のセキュリティはどの程度のものなのか。

　このOSは最初からガードを固めてある。Windowsファイアウォールはデフォルトで有効になっており、Windows DefenderとWindows Updateもしかり。Microsoftはまた、ユーザーアカウント制御（UAC）の設定を容易に変えられるようにした。Vistaがそうだったようにデフォルトでは比較的セキュリティレベルは高いが、管理者が調整できないことは何もない。コントロールパネル／システム＆セキュリティ経由で提供されるAction Centerは、マルウェア対策が導入されていない場合、そのことをしきりに指摘してくる。実際ここから直接、Windows 7向けセキュリティソフトウェアの一覧ページにリンクが張られている。

　Action Centerは、システムのバックアップがデフォルトで設定されていないことも明示してくる。こうしたこと――特にバックアップは企業にとって重要とは思えないかもしれないが、実は重要だ。セキュリティ評価を実施すればするほど、多くの組織がこうした「基本的な」管理者業務をユーザー任せにしていることが分かってきた。ユーザーにシステム管理は任せない方がいいとわたしは忠告している。これは非常に危険が大きいからだ。

　こうしたコントロールが施されたWindows 7は、脆弱性スキャンツールにどの程度耐えられるだろうか。わたしがこれまで目にした市販のOSの中で、見つかった脆弱性が最も少ないのは確かだ。市販の脆弱性スキャナ「GFI LANguard」と「QualysGuard」をデフォルト状態のWindows 7で実行してみた。率直に言って、脆弱性はほとんど見つからなかった。ただ、NetBIOSの名称が発見される恐れがあるというだけだった。これは実質的な問題ではない。認証状態で行ったスキャンでさえも発覚した問題はごくわずかで、いずれも深刻と思えるものではなかった。LANguardのスクリーンショットは以下の通りだ。

GFI LANguardを使い、認証状態で行ったWindows 7の脆弱性スキャン結果《クリックで拡大》

　面白いことに、Windows 7でMBSA（Microsoft Baseline Security Analyzer）を実行すると「これはWindows NT／2000／XP／Server 2003ではなく、Workstationでもありません」というメッセージが出てきた。これは愉快でもあり、相当の皮肉でもある。きっとこのメッセージの部分は、Microsoftが手を加えている最中なのだろう。あるいは、Windows 7のセキュリティについてはまだつつき回してほしくないと思っているのかもしれない。

　そして、Windowsパスワードクラッキングツールの「Ophcrack」はWindows 7にも十分通用した。つまり、ノートPCや携帯端末の暗号化は今後も必須ということだ。これは驚くには当たらない。

　もちろん、試したWindows 7はまだリリース候補の段階だ。またアプリケーションはインストールしておらず、従って攻撃にさらされる部分も極めて少ない。しかも、わたしはこれが「典型的な」Windows 7のシステムだとは思っていない。ユーザーが使い始めれば、あちこちいじってドライブを共有したりソフトウェアをインストールしたりしてリスクは増大する。Web上には、ゼロデイハッキングを吹聴したり、「解決不可能な」脆弱性の情報が飛び交っているが、全体的に見るとWindows 7は極めて堅固に思える。このプラットフォームに対するエクスプロイト（攻撃用プログラム）がどのような形で浮上してくるかの展開は見物だ。念のために言っておくが、決して防御を緩めてはいけない。まだ当面の間、頻繁に悪用されるWindowsの脆弱性がなくなることはないだろう。

本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。専門は独立した立場からのセキュリティ評価。情報セキュリティに関する7冊の著書および共著書がある。ブログではIT専門家向けにセキュリティ関連の知識を提供している。