2025年10月14日、Windows 10の延長サポートが終了します。これにより、セキュリティ更新が提供されなくなり、既知の脆弱性が放置された状態になります。出入管理機器に限った話ではありませんが、過去の類似ケースでは旧OSを使い続けた結果、深刻なサイバー攻撃やシステム障害を引き起こした事例がいくつも発生しています。本コラムでは、サポート切れの旧OSを使い続けた結果発生したインシデントと、物理セキュリティシステムにおいて予想されるリスクについてご紹介します。

OSサポート切れがもたらす実被害：過去事例から見る“見過ごせないインシデント”。金銭被害のみならず、死亡に至るケースも。

WannaCry（2017年）：Windows XPなどサポート切れOSの脆弱性が突かれ、医療機関や鉄道会社を含む世界150カ国以上で被害。

2017年に発生したWannaCryランサムウェア攻撃は、サポートが終了していたWindows XPなどの脆弱性を突いて世界150カ国以上に拡散し、約30万台以上の端末が感染しました。イギリスでは医療機関NHSが電子カルテや予約システムを使用不能となり、診療や手術が中止。ドイツ鉄道では発券機や案内表示に障害が発生し、日産やFedExなどの企業でも生産や物流が一時停止しました。サポート切れOSの放置が深刻な業務停止を招いた代表例です。

BlueKeep（2019年）：パッチ未適用のWindows 7・XPに感染するワーム型攻撃が懸念され、Microsoftが異例のXP向けパッチ提供を実施。

2019年に発見された「BlueKeep」は、Windows 7やサポート終了済みのWindows XPなどに存在するRDP（リモートデスクトップ）の深刻な脆弱性で、悪用されるとワーム型マルウェアによってネットワーク内で自動拡散し、遠隔操作や情報窃取が可能となります。実際の大規模攻撃は回避されたものの、セキュリティ専門家は「WannaCry級の被害の恐れ」と警告し、Microsoftは異例の対応としてWindows XP向けにも緊急パッチを配布しました。パッチ未適用の端末が放置されていた企業では、マイニングマルウェアの感染など実害も発生し、旧OSの使用継続が再び問題視されました。

ドイツの病院（2020年）：旧Windowsのシステムがランサムウェアに感染、救急患者の搬送が遅れ、間接的な死亡事故が発生。

2020年、ドイツ・デュッセルドルフ大学病院がランサムウェア攻撃を受け、ITシステムが全面的にダウン。患者情報や診療データへのアクセスが不可能となり、病院は新規救急受け入れを停止しました。その結果、救急搬送中の女性患者が他院へ転送されることとなり、治療の遅れによって死亡。警察はこの事件を「過失致死」として捜査しました。攻撃の原因は、旧式のWindowsシステムに対する脆弱性と見られており、サポート切れOSの放置が医療現場で直接的な人命リスクにつながる深刻な事例として世界中に衝撃を与えました。

リスクを先読みする：出入管理システムが管理する情報が悪用された場合、どのような影響が想定される？

出入管理システムには、従業員や来訪者の氏名・所属・顔写真といった個人情報に加え、ICカード番号や顔認証データなどの認証情報、さらには出入履歴や管理者アカウント、外部連携のAPIキーなど、機密性の高い情報が数多く含まれます。これらの情報は、OSのサポート切れによる脆弱性を突かれると漏洩や改ざんのリスクが高まり、不正侵入や業務停止、情報漏えいといった重大なセキュリティ事故に直結する可能性があります。加えて、個人情報や認証データの漏えいにより、法的責任や損害賠償、企業イメージの失墜にもつながります。旧OSの放置は、単なるITリスクではなく、企業の安全・信用・事業継続に直結する重大な経営課題といえます。

現在お使いのセキュリティ機器は、Windows11以上に対応していますか？

株式会社アート製「V-Line」「W-Line」シリーズ、およびホーチキ株式会社製の「id･Techno eS」「mini」「nano」シリーズは、いずれも旧型のWindows OS（Windows XP／7／10など）をベースに構築された出入管理システムであり、OSサポート終了による脆弱性が懸念されます。いずれも当時の業界標準に基づいた堅牢な設計となっていますが、基盤となるOSがWindows XPやWindows Server 2003など旧世代であることから、現在のセキュリティ要件やサイバー攻撃の高度化に対応するには限界があります。安心・安全な運用をこれからも継続していくために、Windows 11対応の最新機種へのリニューアルをご検討いただくことを強くお勧めします。