CentOS 7 のサポート終了とリスク/対策について

窪田大樹

2024年10月10日

CentOS は商用サーバー OS である Red Hat Enterprise Linux（以下、RHEL）のクローンとして、多くの組織で Web サーバーなどで広く利用されています。
CentOS 6,8 に続き CentOS 7 も2024年6月30日に EOL を迎えたため、現在はコミュニティによるメンテナンスが行われておらず、脆弱性に対してのセキュリティアップデートを含む全てのパッケージが提供されなくなりました。しかし、システム移行にはさまざまな課題があり、簡単には移行を決定できないのが実状です。かと言って、EOL 後もシステムを稼働し続けることは脆弱性リスクが常につきまとうことになります。

本ブログでは、CentOS の移行に伴う影響や課題、EOL を迎えた CentOS を放置するリスクについて解説します。そしてそれらの課題を解決する当社の「CentOS 延長パッケージ」をご紹介します。

CentOS 延長パッケージコミュニティによるサポートが終了した CentOS へのセキュリティパッケージを最短3か月から低価格でご提供

CentOS とは

CentOS（Community ENTerprise Operating System）は、RHEL のソースコードを基に作られたオープンソースの Linux ディストリビューションです。
RHEL の安定性と信頼性をそのままに、無償で利用できる点が特長です。また、CentOS はエンタープライズ環境において広く使用されており、サーバー、クラウドコンピューティング、データセンターなど、さまざまな用途に利用されてきました。コミュニティによって開発・維持されており、新しいバージョンやアップデートが定期的に提供されます。
このようにエンタープライズ向けの堅牢な OS が無償で利用できることもあり、特に CentOS 7 は、2014年にリリースされて以来、多くの企業や開発者に支持されてきました。

サーバー用途の OS でありユーザーの目に触れないところで稼働していることから、その正確な稼働台数についてはわかりませんが、アメリカの市場調査会社である Enlyft 社によると、オペレーティング・システムの市場の中でも CentOS は第4位にランクインしており、ワールドワイドでも数多く利用されていることが推測できます。

※参考：Enlyft 社「Operating-systemsカテゴリのマーケットシェアランキング」

このような第三者機関による調査は、あくまで Web サーバーなどの外部への応答に含まれる情報を元に集計していることが多いため、実際にはメール・DNS・DB・ファイルサーバーなどの用途で、さまざまな企業の基幹システムの一部としてさらに多くの稼働台数があると思われます。

余談ですが、Apache/Nginx には HTTP ヘッダーのレスポンスに OS/バージョンなどを含むサーバー側の情報を返す設定が存在します。悪意のある第三者に無駄に情報を渡すことはありませんので、問題なければ、このような設定は無効化しておくようにしましょう。

※参考：＠IT「たった2行でできるWebサーバ防御の「心理戦」」

CentOS 7 の移行に伴う課題とは？

CentOS 7 は2024年6月30日にコミュニティによる公式サポートが終了し、現在はセキュリティアップデートやバグ修正が提供されなくなりました。通常であればシステムの移行を行うことが望ましいですが、CentOS 7 からの移行については、いくつかの悩ましい課題が存在します。

①システム移行のコストと時間: 多くの企業や組織において、システムのアップグレードや移行は大規模なプロジェクトとなり、膨大なリソースを必要とします。新しい OS への移行には、既存のインフラストラクチャやアプリケーションの互換性の確認、テスト、そして再設定が伴います。これらの作業は、業務の中断を避けるために慎重に計画される必要があり、そのための時間と費用が大きな負担となることが多いです。
②技術的な制約や依存関係の問題: 古いアプリケーションやカスタムで開発されたソフトウェアが新しい OS で動作しない場合、そのアプリケーションのアップデートや再開発が必要となります。これにより、さらに多くの時間とコストが発生するだけでなく、技術的な難易度も高まります。
③移行先の選定: 移行先の選定においては、CentOS コミュニティの開発方針の変更も無視できない要素です。CentOS は RHEL の安定性と信頼性をそのままに、無償で利用できる点から広く利用されていましたが、CentOS 7 以降にリリースされている CentOS Stream は RHEL の開発版のような位置づけとなっており、RHEL 同様の安定性を求めるユーザーにとっては扱いが難しい OS となっています。
その他の選択肢としては、Rocky Linux、AlmaLinux などの CentOS に代わるディストリビューションも登場しているものの、できたばかりであり、その評価は難しいのが現状です。

CentOS 7 の EOL、放置するリスクは？

EOL を迎えた OS を運用するリスクについて、より具体的にイメージするための事例をご紹介します。

2024年7月1日に OpenSSH に regreSSHion（CVE-2024-6387）と呼ばれる脆弱性が公開されました。OpenSSH はサーバーにリモートログインする際に使われるソフトウェアですが、この脆弱性は最悪の場合、認証されていない第三者によりリモートから root 権限でのコマンド実行ができてしまうという内容となっており、CVSSv3 のベーススコアも8.1という高い評価となっています。

※参考：JVN 脆弱性レポート「JVNVU#97253999 OpenSSHにおける複数の脆弱性」

また、regreSSHion（CVE-2024-6387）を発見したアメリカのセキュリティ企業 Qualys 社は、本脆弱性に関するブログの中で OpenSSH に関する利用状況の調査をおこなっており、インターネット上で公開されている SSH サーバーが1,400万台にも上り、一部では EOL を迎えたバージョンの OpenSSH を利用していることが確認されたことも報告しています。

Interestingly, over 0.14% of vulnerable internet-facing instances with OpenSSH service have an End-Of-Life/End-Of-Support version of OpenSSH running.

引用元：Qualys社 Search blog 「regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server」

これは、EOL を迎えたソフトウェアが引き続き使用されている現状を示しており、そのようなシステムが新たな脆弱性に対して非常に脆弱であることを示唆しています。

regreSSHion（CVE-2024-6387）については、幸いにも無償サポートが終了した CentOS 6, 8, 7 で利用されている OpenSSH は影響を受けないバージョンであることがわかっていますが、仮に CentOS 7 も影響を受ける脆弱性だった場合には、そのインパクトの大きさは想像に難くないでしょう。

CentOS 7 延長パッケージとは

当社 EC サイト「NOZ SHOP（読み：ノズショップ）」にて提供中の『CentOS 7 延長パッケージ』とは、当社の子会社で LinuxOS の開発を手掛けるサイバートラスト社が提供する CentOS のセキュリティパッケージを、最短3ヵ月からお客様のニーズに合わせた契約期間で利用できるサービスです。コミュニティによるメンテナンスが既に終了している CentOS 6, 8, 7 について、それぞれの終了日から4年間セキュリティパッケージを提供します。
※ CentOS 6 については、2026年11月30日まで提供期間を再延長しご提供します。

本サービス内で提供するセキュリティパッチは、米 CloudLinux 社が開発を行っており、CVSS v3 の深刻度が「重要」以上の脆弱性、および「重要」未満だが対策の必要性があると判断された脆弱性に対してパッチを提供します。また、米国土安全保障省（DHS）のサイバーセキュリティ・社会基盤安全保障庁（CISA : Cybersecurity and Infrastructure Security Agency）が公開している実際に悪用が確認された脆弱性のリスト（KEV Catalog）に掲載され、かつパッチが未開発のものがあった場合は当社から個別に開発リクエストを行います。
これにより、コミュニティによるメンテナンスが終了した後も、セキュリティパッケージの提供期間中ユーザーは安心して CentOS を使い続けることが可能となります。

まとめ

これまでの説明のとおり、EOL を迎えた CentOS 7 を運用するリスクは有る一方で、運用コストなどさまざまな理由から簡単に移行することができないケースもあるかと思います。
以下のようなケースに該当する方がいらっしゃいましたら、ぜひ、当社の NOZ SHOP にて提供している『CentOS 7 延長パッケージ』をご検討ください。