CentOS Linux 8のサポートが終了 - サポートがないLinuxOSが危険な理由

f:id:miraclelinux:20220215175641j:plain

CentOS Linux 8のサポートは、当初のアナウンスの通り2021年12月31日で終了しました。サポートがなくなったOSが危険であるということは一般に広く認識されています。でも、その危険性とは具体的にどういったものなのでしょうか?

脆弱性はどれくらい報告されているのか

ここでは脆弱性情報を総合的に取り扱っている「CVE Details」のサイトからいくつかの数字を見ていきます。このサイトではLinuxだけでなくWindowsや各種アプリケーションの脆弱性情報も含まれていますので、全体的な傾向がわかります。

f:id:miraclelinux:20220215175738p:plain

www.cvedetails.com

脆弱性件数はこの10年で大幅に増加

2010年からの10年間の間に企業活動や社会インフラ内のシステム化が一段と進むことに歩調を合わせるかのように脆弱性情報も急増しています。2010年には年間4,600件程度だったものが、2021年には20,141件と4倍以上に増加しています。

f:id:miraclelinux:20220215175808p:plain

それら脆弱性を種類別で見ていくと次のように

  1. 不正なコード実行
  2. DoS攻撃
  3. クロスサイトスクリプティング(XSS)
  4. オーバーフロー
  5. 不正な情報の取得

が上位を占めます。

f:id:miraclelinux:20220215175835p:plain

これらはいずれも、システムの乗っ取り、サービスへの妨害や停止、不正なサイトへの誘導やマルウェアのダウンロードさせての感染、情報漏洩といった深刻な結果につながる脆弱性であり、緊急度が高い対応が求められます。

Linuxカーネルやアプリケーションの脆弱性

次に、Linuxカーネルやディストリビューションに含まれていたり、サービスの構築などで一般的に利用されるアプリケーションの脆弱性について2019年〜2021年の3年分の数字を集めてみます。

Linuxカーネル
* 2019年 290件
* 2020年 126件
* 2021年 158件

Apache HTTP
* 2019年 14件
* 2020年 4件
* 2021年 18件

MySQL
* 2019年 138件
* 2020年 139件
* 2021年 124件

PHP
* 2019年 34件
* 2020年 16件
* 2021年 8件

脆弱性の重要度に差があるとしても、毎年多くの脆弱性が報告されていることがわかります。ただこれは、脆弱性の数が多いことが問題なのでなく、脆弱性の発見とその修正のサイクルが繰り返されることでより信頼性が高く安全なものになってきていることを示しています。

ですのでシステムの安全性を高めて維持するためには、脆弱性を修正したに対応したパッケージを迅速に入手してアップデートしていくことが極めて重要です。サポートが終了し、アップデートパッケージの供給が停止したディストリビューションを使い続けることは、ある種の時限爆弾を抱えているのと同じことになりかねません。

事例:CentOS Linux 6 のサポート終了後の状況

サポートが終了するとどんな状況になっていくのか、2020年11月30日にメンテナンス更新を含むすべてのサポートが終了した CentOS Linux 6では次のようなことが起こりました。

リポジトリがアーカイブに移行
yumコマンドでインストールやアップデートに使用していたリポジトリはアーカイブに移行しました。その影響でサポート期間中の設定のままでyumコマンドを使用してもエラーとなります。アーカイブとなったリポジトリのURLを調べて参照するリポジトリの設定ファイルを書き換える必要があります。

重大な脆弱性であっても修正パッケージの入手が不可能または困難
CentOS Linux 6のサポート終了後の2021年1月27日にローカルユーザーがパスワード認証なしでルート権限に昇格できてしまうという極めて深刻度の高い重大な脆弱性「sudoの脆弱性 CVE-2021-3156 : Baron Samedit)」が発見されました。 このケースでもサポートが終了しているため CentOS Project からの修正パッケージはリリースされませんでした。幸い「sudo」の開発元(アップストリーム)のサイトから修正パッケージがリリースされましたが、それに関してのCentOS Project からの公式なアナウンスはありませんから、ユーザーが自らインターネット上で検索して情報収集を行わなければ入手は容易ではありませんでした。またソフトウェアによっては開発元(アップストリーム)から修正パッケージが必ずしもリリースされるとは限りません。  

サポート切れの放置は危険なだけでなく大きな損失につながることも

脆弱性を修正したパッケージがなくそのまま放置されることは、犯罪集団などからのサイバー攻撃を防御できず、顧客情報や企業内の重要な情報の漏洩、または組織内のシステムへの侵入を許してしまい業務への妨害行為、ランサムウェアによるデータの人質化などへの温床となりかねません。

サイトへの不正侵入により、オンラインサービスを停止せざるをえなくなり、ビジネスプロセス全体が機能不全になると、ビジネスへの直接的な被害だけではなく、

  • セキュリティ専門企業への調査依頼
  • 監督官庁への報告
  • 捜査当局への対応
  • 取引先、顧客への状況説明
  • 問い合わせコールセンターの設置
  • 顧客等への賠償の支払い
  • システム、アプリケーションの再構築
  • 再発防止対策

などの対応に非常に大きなコストが発生します。さらに企業の信頼性も毀損されるため、正常なビジネスへの復帰にはかなりの時間を要するケースも考えられます。

信頼できるパートナーのサポート選択が重要

CentOS Linux 8のサポートが完全に終了した現在、CentOS Linux8のままで運用を継続するなら延長サポートを契約して継続的なパッケージの提供を受ける、あるいはCentOS Linux8互換のOSにマイグレーションする、といった2つの方法があります。サイバートラスト社の救済サービスは、この2つのいずれも対応できます。

CentOS 8 延長サポート
CentOS Linux 8 を導入済みの企業向けサービスであり、低コストでセキュリティフィックスなどが修正されたパッケージの提供を受けて継続しての利用を可能とするものです。

MIRACLE LINUX 8へのマイグレーション
前記のCentOS 8 延長サポートにも含まれていますが、サイバートラストが20年以上開発を継続しているMIRACLE LINUX 8へのマイグレーションも有効な選択肢です。RHELと高い互換性を備え、10年間の長期サポートがあり、費用対効果の高い有償サポートも得られます。

信頼できるパートナーのサポートを得ることは、安定した事業継続には不可欠です。サイバートラストのMIRACLE LINUXは日本国内で開発され、サポートも全て国内で対応する日本のビジネスのためのLinuxディストリビューションです。

*****

f:id:miraclelinux:20220215175938p:plain:leftサポートがなくなってしまったOSを使い続けるのは本当に危険。サイバー攻撃が犯罪組織にとって大きな資金源となっている現在、彼らは高度な手法で脆弱性につけ込んでシステムを攻撃して侵入しようとする。万一、その被害に遭うとビジネス上の損害は計り知れない。そうならないためにはサポートが重要。使い続けるための延長サポートであれ、マイグレーションしての有償サポートであれ、信頼できる国内のサポートを選ぶことが大切だ。

CentOS 8 延長サポートについては以下を参照ください。

www.cybertrust.co.jp

MIRACLE LINUXのサポートサブスクリプションの詳細については、こちらからお問い合わせください。

www.cybertrust.co.jp

© 2021 - 本ブログの無断転載はご遠慮ください。記事に掲載の名称や製品名などの固有名詞は各企業、各組織の商標または登録商標です。