1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. サポート終了済みのMicrosoft IISが世界で51万件超-日本も無関係ではないリスク

サポート終了済みのMicrosoft IISが世界で51万件超-日本も無関係ではないリスク

セキュリティニュース

投稿日時: 更新日時:

サポート終了済みのMicrosoft IISが世界で51万件超-日本も無関係ではないリスク

セキュリティ調査を専門とする非営利団体「The Shadowserver Foundation」は2026年3月、日次のインターネットスキャンにおいて、サポートが終了(End-of-Life:EOL)したMicrosoft IIS(Internet Information Services)が世界で51.1万台以上稼働していると報告しました。

さらに深刻なことに、そのうち22.7万台超はMicrosoftの「拡張セキュリティ更新プログラム(ESU)」の提供期間すらも超過した状態にあります。時代遅れのIISを最も多く稼働させている上位国は中国と米国ですが、アジア圏に位置する日本も決して無関係ではありません。

シャドーサーバーの報告:2つの警告タグと実態

今回の発信は、特定の侵害事案の公表ではなく、インターネット上に「攻撃者から見て到達可能な公開資産」が相当数放置されていることを示す警告です。

Shadowserverは、自組織が提供する「Vulnerable HTTP Report(脆弱なHTTPレポート)」において、古いIISを明確に可視化するため、新たに以下の2つのタグを追加してネットワーク管理者に通知を開始しました。

タグ名 状態 意味と該当する稼働台数
eol-iis EOL (End of Life)

Microsoftの通常サポートが終了したIISインスタンス

 

(世界で51.1万台超)
eos-iis EOS (End of Support)

延長セキュリティ更新(ESU)の猶予期間も終了し、公式パッチが一切提供されないIISインスタンス

 

(世界で22.7万台超)

EOLとEOSの違い──IISのレガシー化は「OSのレガシー化」

Microsoft Learnの公式ドキュメントが示す通り、IISはWindows OSの組み込みコンポーネントであり、Windows Server本体と同じライフサイクルで管理されます。つまり、「Webサーバー(IIS)の更改遅れ=OS自体の更改遅れ」を意味します。

過去の主要なIISとWindows Serverのサポート終了時期は以下の通りです。

  • IIS 8.5 / 8.0(Windows Server 2012 / 2012 R2):2023年10月10日終了

  • IIS 7.5 / 7.0(Windows Server 2008 / 2008 R2):2020年1月14日終了

  • IIS 6.0(Windows Server 2003):2015年7月14日終了

一部の製品では最大3年間のESU(有償の延長サポート)が利用可能ですが、eos-iisのタグがつく22.7万台のサーバーは、このESUの期間すらも完全に超過しています。

認証基盤、アプリケーション、TLS設定、周辺ミドルウェアに至るまで、サーバー全体が極めて脆弱な「完全なレガシー状態」でインターネットに晒されている危険な状態になっています。

なぜ危険なのか? CISAが求める「攻撃面の縮小」

サポートが終わったIISが自動的にすぐ侵害されるわけではありません。

しかし、新たに「認証不要のリモートコード実行(Pre-auth RCE)」などの致命的な脆弱性が発見された場合、公式の修正パッチが提供されないため、攻撃者に対して完全に無防備(ゼロデイ状態が永続する状態)となります。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も、サポート終了を迎えたエッジ機器やソフトウェアは脅威アクターにとって魅力的な標的であると警告し、組織に対して以下の対応を強く推奨しています。

今すぐ取るべき推奨対応策

インターネット公開資産の管理不備は、自社がランサムウェア被害に遭うだけでなく、他者への攻撃の踏み台にされるリスクも孕んでいます。情シス部門は今一度、公開基盤のライフサイクル確認と、速やかな置き換えに向けたアクションを起こす必要があります。

  • インベントリの把握(棚卸し) 外部に公開されているIISを製品名だけでなく、「どのWindows Serverバージョンで動いているか」「ESUの対象期間内か」まで含めて正確に棚卸しし、リスクの優先順位をつけます。

  • 攻撃対象領域(アタックサーフェス)の削減 EOL/EOSのIISをやむを得ず一時的に残す場合は、インターネットからの直接到達性を絞ります。不要な公開を停止し、前段にリバースプロキシやWAF(Web Application Firewall)を配置する、管理ポートを閉じるなどして露出を最小限に抑えます。

  • バージョンアップまたは別環境への移行(根本解決) ESU期間も終了した環境は、恒久運用の前提にしてはいけません。現在サポート中の環境(IIS 10 / Windows Server 2019や2022など)へのアップグレード、またはNginx・Apache等の代替Webサーバー、クラウド環境への移行計画を前倒しで実行します。

  • 継続的なモニタリング Shadowserverのダッシュボードやレポート、各種脆弱性スキャンツールを活用し、自組織のネットワーク内に「野良サーバー」が放置されていないか定期的に監視します。

出典

X公式投稿

関連記事

Microsoft、Windows 10で緊急アップデート公開—ESU登録不具合を修正(KB5071959)Microsoft、Windows 10で緊急アップデート公開—ESU登録不具合を修正(KB5071959) WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) Windows 10がサポート終了-Windows11へ移行すべき理由Windows 10がサポート終了-Windows11へ移行すべき理由 CISAがサポート 終了 済みのルーターやファイアウォールを排除する指令CISAがサポート 終了 済みのルーターやファイアウォールを排除する指令 Windows 10、サポート終了に伴い最後のパッチをリリースWindows 10、サポート終了に伴い最後のパッチをリリース CISA、D-Link製EOL監視カメラ等に関する3件の深刻な脆弱性を既知の悪用済み脆弱性カタログに追加CISA、D-Link製EOL監視カメラ等に関する3件の深刻な脆弱性を既知の悪用済み脆弱性カタログに追加 CISAがF5/BIG-IP 製品の即時点検と更新を米連邦機関に命令CISAがF5/BIG-IP 製品の即時点検と更新を米連邦機関に命令 古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029)古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029) Windows 10の延長サポート「ESU」が開始-個人向けに重要/緊急のセキュリティ更新を最長2026年10月13日まで提供Windows 10の延長サポート「ESU」が開始-個人向けに重要/緊急のセキュリティ更新を最長2026年10月13日まで提供