RBI、ATMのWindows XPをシャットダウンするよう銀行に指示

RBI、2019年6月までにWindows XPで動作しているATMをすべてアップグレードするよう銀行に指示

インド準備銀行（RBI）は、全国の銀行に対し、すべてのATMからMicrosoft XPオペレーティングシステムをアンインストールし、2019年6月までにアップグレードするよう通知を出しました。

知らない方のために、2014年4月にMicrosoftはWindows XPビルドのバージョンを終了することを発表しました。それ以来、同社はセキュリティパッチを提供しておらず、Windows XPの新機能も発表していません。

2017年4月、RBIは銀行に対し、「機密の回覧文書」を通じてWindows XPやその他の脆弱なオペレーティングシステムで動作しているATMに関する懸念を強調しました。

「銀行に対して、2017年3月6日付の機密のアドバイザリーNo. 3/2017および2017年11月1日付のNo. 13/2017において、即時に実施すべき適切な管理策を講じるように助言したことを参照してください」とRBIは、Windows XPやその他のサポートされていないオペレーティングシステムで動作しているATMに関する機密の回覧文書で述べました。

過去に銀行に移行計画を立てるよう指示したにもかかわらず、RBIにとっては進展が十分ではありませんでした。

「これらの問題に対処するための銀行の進展の遅さは、RBIによって深刻に受け止められています」と通知は述べています。

中央銀行が発行した回覧文書は、「サポートされていないオペレーティングシステムで動作する銀行のATMから生じる脆弱性や、他のセキュリティ対策が実施されていないことは、銀行の顧客の利益に悪影響を及ぼす可能性があり、また、万が一、銀行のイメージに影響を与える可能性がある」と強調しています。

中央銀行は、命令に従わない銀行に対して規制措置を講じると警告しています。

「この回覧文書に含まれる指示に対する適時かつ効果的な遵守に欠陥がある場合、1949年の銀行法および/または2007年の決済および清算システム法の適用規定に基づく適切な監督執行措置が招かれる可能性があることに留意してください」とRBIは述べました。

RBIは、銀行と「ホワイトラベルATMオペレーター」に対し、すべての問題に対処し、段階的にアップグレードを実施する期限を設けました。2018年9月までに少なくとも25%のATMをアップグレードし、2018年12月までに50%のシステムを更新する必要があります。サポートされているオペレーティングシステムを搭載したすべてのATMは、2019年6月までに最新バージョンにアップグレードする必要があります。

ATMのアップグレードを指示するだけでなく、RBIは銀行に対して、BIOSパスワードの設定、USBポートの無効化、自動実行機能の無効化、オペレーティングシステムやその他のソフトウェアの最新パッチの適用、端末セキュリティソリューション、時間ベースの管理者アクセスなどの他のセキュリティ対策を8月までに実施するよう求めています。

さらに、RBIは銀行に対して、ATMに対してスキミング防止およびホワイトリストソリューションを実装し、承認されたソフトウェアのみが実行できるように指示しました。これを実施する期限は2019年3月です。

RBIは、銀行に対して2018年7月末までに遵守計画を提出するよう指示しました。「これらの対策の実施における進捗は、定められたタイムラインを遵守するために密接に監視されるべきです」と回覧文書は付け加えました。