セキュリティ | パソコン温故知新～使えるものは活かしていこう～

2014年5月19日

・OpenSSLにはこんなに問題が（マイナビニュースより）

Comments

最近は、ＩＥの脆弱性の問題が大きく取り上げられた為、OpenSSLの問題がすっかり置き去りにされていましたが、問題もまだまだあるようです。

では本題です

下記参考リンクのOpenSSLの問題をざっくり要約すると

「オープンソースなんだけれども、外部からの不具合の指摘が何年も放置され、
修正されず中身がボロボロのポンコツ・・・」といった感じでしょうか。

＜上記の要約がざっくり過ぎたので記事を追加しておきます：2014年5月20日追加↓＞

通常、オープンソースとは有志が良いものへ改良していくものですが、OpenSSL場合、独自のプログラム構造になっている事や、数多くのＯＳをサポート対象としている事から、構造が極めて複雑になり、外部から不具合の指摘があっても、あまりに分かりづらいプログラムになってしまった為、緊急時以外は対応できなかった、もしくは対応しなかったと思われます。

そこで、OpenBSDプロジェクトの開発者が、このままではセキュリティを保障できないと判断し、
OpenSSLからLibreSSLを派生させ、別プロジェクトとして取り組むことにしたというのが経緯らしいです。

今後、OpenSSLからLibreSSLへの移行を進める可能性があるともしています。（記事一部抜粋）

簡単な例を挙げると、

一台のパソコンの中にあるひとつのファイルを、何十人の人たちが共通で触りまくり肝心のファイルの元内容がぐちゃぐちゃになり、読み取るのが困難になった状態に似ています。（OpenSSLの不具合は例題とは深刻度が比べ物になりませんが）

なお、LibreSSLについては開発が始まったばかりの様で、参考に出来るサイトがあまりない事から今回は省略いたします。

＜2014年5月20日追加↑＞

今回の問題は、OpenBSDプロジェクトの開発者が指摘した問題となっており将来OpenSSLという名前で無くなる可能性が出てきました。

また、OpenBSDとはオープンなオペレーティングシステムであって、OpenSSL（暗号化ソフトウェアライブラリ）とは異なります。

残る脆弱性サイト

OpenSSLについては、ほぼ対応が終わっている様ですが、まだ対応していないサイトも若干ではあるけれども残っている様です。

参考リンク

・海外ＳＳＬサーバー診断サイト
Qualys SSL LabsによるＳＳＬサーバー診断サイト
（OpenSSLをはじめ、詳細な情報がランク形式で確認できる為、参考になります）

ついに来たOpenSSL対応サイトからのお願い

2014年4月24日

・シマンテック（SSL Certificate Checker）

Comments

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンＳＳＬ」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、ＯＫであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトＡ、Ｂ、Ｃとしましょう。

パスワード変更が面倒だと、すべて同じＩＤ、パスワードにしていた場合Ａのサイトが被害にあった時、Ｂ、Ｃのサイトも同じだと、Ａサイトで盗まれたＩＤ、パスワードからＢ、Ｃのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク（Heartbleed脆弱性検査サイト）

・海外サイト（ハートブリード検査）

その他

・IPA 独立行政法人情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について

OpenSSLの表記について

上記サイト、ＩＰＡやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにＵＰした記事の表記に関しては記事全体に問題が生じなければ修正はしない事にしています。

三菱ＵＦＪニコスＯｐｅｎＳＳＬで情報流失か

2014年4月19日

・ heartbleed によってクライアントやモノのインターネットデバイスもリスクにさらされる恐れ（シマンテック：セキュリティブログより）

Comments

クレジットカード会社の三菱ＵＦＪニコスにオープンＳＳＬの脆弱性を突いたアクセスがあり、顧客情報が流失した可能性があるとしています。（4月19日現在）（各メディア記事より抜粋）

カードの悪用は報告されていないとしていますが、国内で今回のバグに関して被害報道されるのは初となります。

WindowsＸＰ騒動と重なった事

海外では脆弱性については大騒ぎになっており、カナダでは逮捕者も出ていると言うのに国内ではＸＰサポート終了騒動で手がいっぱいなのでしょうか。

個人的にはＸＰは最終パッチが出たので、オープンＳＳＬの脆弱性の深刻度に注意してもらいたいと思うのですが、どうも対応の遅れとしか思えません。
通販サイトも膨大にあるのにのんびりしすぎなのではと思います。

今回のオープンＳＳＬの脆弱性で大手サイトも結構使っている事が分かり、カード決済をインターネットで行っている全ての方が他人事ではなくなった気がします。

すべてのユーザーに注意が必要

未対応サイトのパスワード変更はもちろんですが、大手セキュリティーベンダーのシマンテックによると、今回の脆弱性はクライアントすべてが対象になる可能性があるとしており、その範囲もソフトウェアに限らず幅広い分野が指摘されています。（詳しくは下記参照リンクから）

なら、どうすれば良いのかと不安になりますが、ユーザー側では使用しているサイトがＯｐｅｎＳＳＬかなんて事は分かる訳がありませんので、ネットでクレジットカード決済している口座は明細確認をする事が大事で、それでも不安であれば直接確認を取るべきです。

今後、どの程度被害がでるか検討もつきませんが、最小限で済む事を願っております。

参考サイト

・脆弱性突き、カナダで逮捕者（ＩＴＰＲＯより）

・モノのインターネットとは

データ暗号化ソフト「オープンＳＳＬ」で脆弱性

2014年4月12日

Comments

暗号化ソフトの「オープンＳＳＬ」で脆弱性が発見され、ネット決済などの根底を揺るがす世界的大ニュースとなっています。

では本題です

オープンＳＳＬのバグで何が危険か

ＳＳＬ（Secure Sockets Layer）とは個人情報やネット決済情報を安全にやりとりする為の欠かせないシステムです。

オープンＳＳＬとは（IT用語辞典より）

一般的にはこれですね（ヤフーログインより）

アドレスのhttpの後ろにsがついていればＳＳＬ対応となる訳ですが、

このＳＳＬのオープンＳＳＬで見つかったバグ（深刻な不具合）が約2年間も気づかれずに放置状態だった事が世界中で大騒ぎになっている訳です。

つまり、2年間個人情報（決済など）がダダ漏れだった可能性が否定できない事と、ユーザー側としてはパスワードを変える位しか出来ないのが現状だという事です。
さらにはアタックされたログ（記録）が残らないそうなので、追跡が不可能と最悪です。

オープンＳＳＬと深刻度

オープンとある通り、誰でもスキルがあれば自由に利用できる為、かなりネットに浸透しているのは確実で、今回のバグについて大手セキュリティベンダーも「深刻」と警戒しています。

一般ユーザーが危険サイトを確認できる方法

今回のバグは、オープンＳＳＬに潜んでいたハートブリードと呼ばれるものらしいですが、今の所、下記サイトにて安全性が確認できます。
（完全な保障を約束するものではありません）ネットエージェント株式会社（Heartbleed脆弱性検査）（現在は閉鎖）

ネットエージェント

ヤフーログインアドレスで確認しましたが、問題ありませんでした。

サイトのhttp://は省いて検査してみてください。

海外サイト（ハートブリード検査） Test your server for Heartbleed

こちらはアドレスをそのまま入力が可能で、All goodと表示されればＯＫです。

例えば、Ａｍａｚｏｎであればhttp://www.amazon.co.jp/ではなく、http://の最後にＳがついているアドレスを指定するか、Ｓを付けて検査するとＯＫになります。
（もしくは、ログインする際にhttps://が付きますのでそちらを指定するなど）（2014年5月補足）

＜補足＞

チェックにあたり、ログイン画面にＳＳＬ指定がないサイト（例：ＦＣ２など）はログイン時にセキュリティサーバーを一瞬通る事がありますので、そのアドレスをチェックしないと意味がありません。

ちなみに、管理人がチェックした時はＯＫでした。

参考サイト

・ロイターより（暗号化ソフトに重大なバグ）

・一般ユーザーの為のOpenSSL脆弱性おさらい（ＩＴＰＲＯより）（2014年5月追加）

＊＊＊＊＊　　　　　まとめ　　　　　＊＊＊＊＊

ユーザー側の対応
これらの不具合はサイト管理者が対応しなければ放置状態です。
オープンソースとはいえ、約2年も不具合が放置されていたらしいのでそれは世界が大騒ぎでしょう。
残念ですがユーザー側で出来る事はありません。

上記検査サイトでアウトになったサイトを使用していればサイトの対応を待つか、パスワードを変更するくらいしかないと思います。
また、パスワード変更は今回に限らず変更のくせはつけておき、
複数サイトで同じIDやパスワード使用などは禁止した方がセキュリティ上安全です。
大手サイトの対応
ネット決済やバンキングで気になる方が一番だと思いますがAmazonなど大手は問題ないとしているそうです。
ですが、対応しましたという所は気をつけた方が良いと思います。
過去の取引がバグ発覚まで放置状態だった可能性がありますので。
ＳＳＬ導入にはお金がかかる
大手優良サイトや官公庁は多少金額が高かろうが大手のＳＳＬ導入サービスを選びます。
個人でレンタルサーバーなどを運営された方は分かると思いますがＳＳＬ対応サイトにはとにかく導入コストがかかります。
その為、個人情報を入力する画面なのにＳＳＬ対応されていないサイトもたまに見かけます。
そんな背景もあり、オープンＳＳＬが現在世界に広まり大きな騒ぎになった原因だと思います。

オープンソフトとはいえ、ＳＳＬサイトが危険にさらされてはネットでの信頼性が根底から崩れかねません。

オープンＳＳＬで過去、どれほどの情報が外部に漏れたかは分かるはずもありませんが、大手サイトくらいは信頼性の高い暗号証明証発行サイトを使用してもらいたいものです。

オープンＳＳＬの表記及び補足事項

オープンＳＳＬの表記について（2014年4月24日記事より「OpenSSL」に統一致しました。）当初、「オープンＳＳＬ」か「OpenＳＳＬ」で迷ったのですが、ボランティア団体がオープンソースとして開発している為、オープンＳＳＬでもいいやという結論になりました。どちらも意味は同じです。
OpenＳＳＬ日本語サイト（文字化けする場合は、ブラウザの表示からエンコードを自動判別にしてみてください）また「データ暗号化ソフト」ではなく「データ通信暗号化」であるとしているサイトも見かけますが確かにプロトコルという通信手段の一部である事から分からない訳ではないのですが、一般ユーザーからしてみればそこまで詳しくないですし、情報が正確に伝われば良いと思います。
ＳＳＬ表記で統一するのは問題ですが、使用サイトが危険か危険じゃないかが分かれば良い話です。
プロトコルとは（ＩＴ用語辞典より）
今後一番注意しなければいけない事
暗号化ソフトの不具合が大規模に発生した事により、今後パスワード変更に関する迷惑メールなどが増えると思われます。
【例】「弊社サイトがこのたび発生致しました暗号化の不具合により・・・中略・・・至急下記アドレスよりパスワード変更をおねがい致します・・・」とか、ご自分が現在使用しているＳＳＬ対応のサイトを確認、もしくは問い合わせの上、迷惑メールやサイトの誘導には引っかからない様に気を付けてください。

しっかりした所は対応済みかどうかなど必ず教えてくれます。

契約辞退で問題山積み「マイナンバー制度」

2014年1月18日

・住民基本台帳カードとは（住民基本台帳カード総合情報サイトより）

Comments

問題が大きすぎてパソコン豆知識のカテゴリには当てはまらないと思いますが、予定通り進めば2年後の2016年にすべての国民に当てはまりますので書いておきます。

では本題です

本格開発の前に辞退

開発はとにかく「お金」と「人材」が沢山要ります。

それも「国の根幹となるシステム」である為、なおさら優秀な人材が必要です。

下記参照リンク先の記事によれば、当初「ＮＴＴコムウェア」が落札したが直前に辞退されそして今回、再入札となってしまった様です。

辞退の理由は記載していませんが、恐らく「開発期間の短さ」や「人材確保不足」や「予算の折り合いがつかない」などが推測できますが、あくまで推測です。再入札の候補は「ＮＥＣ」と「富士ソフト」らしいですが個人的な希望では「ＮＥＣ」に落札してほしいですね。官公庁関連のノウハウもあるはずですので。

「富士ソフト」でも良いですが、開発ソフトの質が若干違う気がしますのでもし落札したら、質の良い開発をお願いします。

住民基本台帳（住基ネット）はどこへいった

これができた時も抵抗がありましたが、こちらにも膨大な予算がかかった記憶がありますので、素人考えでは初めからこちらに連動すれば良かったんじゃないかと思いますが。

そもそも、住民基本台帳は身分証明書くらいの役割しかなく、免許証をお持ちであれば必要ないと思います。

マイナンバー制度とは

簡単に書くと、国民すべてに番号（確か12桁の数字）を割り当てて社会保障と税などを最初は管理しようというのが目的です。

この様なシステムは他国でも違う形で行われていますが、アメリカなどでは情報管理の量を広げすぎた為にトラブルになり、逆に扱う情報を絞り込んだとどこかで聞いた事があります。

メリット

氏名や住所ではなく、固有番号で~~一元管理~~分散管理できるので社会保障や税の漏れが一発で分かる。

デメリット（ありすぎて書ききれませんが以下2つに絞り込みます）

開発期間のさらなる短縮問題

2年後の運用予定で開発本番の時に再度の入札です。

国の根幹を創る訳ですから突貫工事だけはやめてほしいと思いますが、月平均残業200時間から300時間オーバーで間に合うかどうかでしょうか。

すべての開発者に上記の時間が該当するとは思いませんが、恐ろしくハードなスケジュールになる事は想像がつきます。
ただでさえ期限がせまっているのに、土壇場でのまさかの契約辞退で開発現場は地獄絵図の様になっているのが目に見えるようです。
こうなってくると、開発の際に必ず出るバグ（不具合）の存在が一番気になります。

国の根幹を支えるシステムであるだけに「万が一」なんて事は許されませんが悲しいかな、バグは必ず出てしまうものです。

今回のマイナンバー制度は、個人情報はもとより社会保障と税の情報を「番号に紐付け」する作業だと思いますが、間違えて他人の番号に自分の個人情報が割り当てられていたなんて事が万が一にでもあったらバグ以前に開発企業や国の責任問題にもなりかねませんのでもう少し余裕をもって採決、可決してほしかったです。

今後、開発に携わる方の無事を祈ります。

セキュリティーの問題

最も重要視され、国民が不安に思う所がここだと思います。

社会保障と税を管理する制度、つまりは所得がいくらあって税金を納めてますとか、年金は納めてますかとかが一発で分かる仕組みにしたい訳です。

国にとっては便利なシステムですが、悪用されると大変な事になります。

なにせ、12桁ごときの番号で管理しようと言う訳ですからたとえ暗号化されていたとしても、番号が流失したら個人情報流失どころではなく気づいたら、積み立てた年金が引き出されていたなんて事も最悪考えなくてはなりません。

こういった懸念をふまえてか、他国の事例を元に最初は扱う情報を最小限にする様ですが不安や問題点はつきません。
住民基本台帳でもなにかしら問題がありますので番号管理なんかではセキュリティーを相当強化してもどこかで問題が生じるでしょう。

参考リンク

・契約辞退で再入札（ITproより）

・他国の国民総背番号制

＊＊＊＊＊　　　　　まとめ　　　　　＊＊＊＊＊

今のところデメリットしか浮かびませんが、今回の契約辞退でさらに開発スケジュールは誰が見ても悪化しました。
社会保障と税を分散管理~~一元管理~~できる事は国のメリットであり一国民には住民基本台帳で充分です。
2年後の2016年に予定通り無事にシステムが稼働しマイナンバーが割り当てられたら、
それは「あなたの個人情報」ですのでむやみに使用せず、絶対に紛失などしない様に心に留めておいてください。
致命的なバグがなく、無事に開発が終わる様に願っています。

アンチウイルスソフト２重常駐の危険性

2013年12月15日

Comments

ウイルス駆除ソフト（アンチウイルスソフト）はなにを使われているでしょうか？年末年始や、イベントが増えるにつれ、それに便乗した迷惑メールや、サイトも増えてくると思いますので注意が必要です。

では本題です

アンチウイルスソフトを複数パソコンに入れておけば検出率も上がり安全だろうと思っている方がいると思いますがむしろ危険です。
当ブログで「ウイルス駆除ソフトは無料版で十分だと思う」でアンチウイルスソフトについて少し書きましたが、
今回は競合の危険性についてです。

ウイルス駆除ソフトの常駐はひとつまで

フリーのウイルス駆除ソフトを使う方や、パソコンを新規購入した時にお試し版で入っていたのでそのままにして、違うソフトを入れたなんて事があると思いますが、ウイルス駆除ソフトも常駐していれば、機能に差はあれど外部からの監視をしている訳ですから２重常駐は危険です。

２重常駐はなぜ危険なのか

会社での仕事で例えて見ましょう

【Ａさん】
この仕事はおれがやる、と重要な案件を任されたＡさん。

【Ｂさん】
おれも手伝うよと、横やりを入れてきたＢさん。

この段階で両者が喧嘩にならず、共同作業できれば問題ないと考えますが喧嘩になった場合どうでしょうか？

【Ｃさん】
そこへ、Ｃさんがこそっと乱入、んじゃおれが手柄を立ててやると重要案件をメディアで外部に持ち出して、ウイルス感染、拡散となった場合最悪の事態になりかねません。

上記は会社での架空の例ですが、ウイルス駆除ソフトの場合、２本以上常駐する事は検知率を上げるどころかソフトどうしが喧嘩になり、本来の働きをしない可能性がある為危険です。

そればかりか、ウイルス駆除ソフトどうしが競合した場合、本当にウイルスが来た時、処理の判断を遅らせる原因となりウイルスがスルーされる可能性があります。

競合の危険性（一例）

常駐型のMicrosoftSecurityEssentialsとPandaCloudAntivirus（フリーソフト100より）を常駐した所に非常駐のMcAfee Security Scan Plusでスキャン（McAfee Security Scan Plusは、ウイルス駆除ソフトやファイヤーウォールが正常に機能しているか主にチェックするもので、ウイルス駆除とは程遠いものです）

アンチウイルス二重登録

基本的な対策

２本以上ウイルス駆除ソフトを入れる場合、常駐させるソフトはどれか１本に絞り、あとは、プラスアルファで予備的なスキャンとして考えていた方が無難です。

ウイルス駆除ソフトどうしを喧嘩させて、肝心のウイルスをスルーさせたのでは意味がありません。

＊＊＊＊＊　　　　　まとめ　　　　　＊＊＊＊＊

年末年始にかけて、ウイルス増加期間に入ります。
年末セール関係、年明けにはおめでとうセールなどウイルスがいろいろ出てくると思います。
ウイルス駆除ソフトが競合したままでは意味ありません。
上記に書いた事でほとんどですが、常駐させても機能していなければ意味がありませんので常駐メインを１本にして、非常駐でたまにスキャンしてメインソフトの機能を補ってあげるのが理想かと思います。

ウイルス駆除ソフトも「完全なものはありません」ので有料版でも、無料版でもご自分の環境に一番合ったソフトを上手く使用していくのが年末年始に限らず、パソコンを守っていく策だと思っています。

WindowsＸＰを使い続けて平気なのか

2013年10月12日

サポートライフサイクル検索より（タブレット等は省きました）

Comments

2014年4月でWindowsＸＰの永きサポートがマイクロソフト（以下ＭＳ）より打ち切られます。

Windows98などの流れを取り入れ、業務ベースのオペレーティングシステム（以下ＯＳ）であったWindowsＮＴ系の安定性を取り込み使いやすさ抜群だったのですが残念です。

比較的家庭向けだった98系と、業務系だったＮＴを統合したのがWindowsＸＰでした。

本来、サポート期間がもっと短いはずだったWindowsＸＰですが、WindowsVistaの開発の遅れからＭＳの苦渋の決断によりサポートが伸び、シェアが拡大したと聞いた事があります。

では本題です

WindowsＸＰは今後も使い続けて平気なのか答えは残念ながら「使わない方が良い」です

サポートＸＰ

以前、当サイトで「Windows7でOffice2000を使う」をご紹介しましたが、現在サポートがあるＯＳ上で動かして、最低限のセキュリティが確保できると思うと言う事です。

ご存じかと思いますが、ＯＳはパソコンソフトの核であり、動作すべてを監視する基本ソフトです。

ですので、WindowsＸＰがサポートから外れた後も使用し続けると、外部からのアタックに対して、サポート終了後にセキュリティホールが見つかった際にＭＳから修正パッチが提供されない為、セキュリティホールが放置状態になり大変危険を伴います。

結果、セキュリティホールを突かれ、Office系ソフトのセキュリティホールも突かれ前記事では「自己責任」と書きましたが、それも通用しなくなり、パソコン自体がウイルスの踏み台、温床となって行く羽目になりかねません。

ウイルス対策ソフト（アンチウイルスソフト）

最近ウイルス対策ソフトを延長サポートするので・・・なんて記事を見かけますが「はっきり言って気休め程度だと思います」

ウイルス対策ソフト（統合型も含む）はそもそもパソコン自体を外部から守ろうと言うものですが、ＯＳのセキュリティホールまではふさいでくれません。

確かにウイルス対策ソフトの中にはソフトファイヤーウォールなんてものが付いているものが数多くありますが、一時的な対応としか考えていません。

結局はソフト開発側（ＭＳなど）からパッチを配布してもらう必要があります。

ウイルス対策ソフトの効力は使用中のパソコンのみに限られ、それは最新のＯＳであっても同じ事が言えます。

考えられる一時的な対応策

サポート終了後、一分一秒でも使用してはいけないのかと問われると「使用しない方が良い」としか書けませんが、ネットワークに接続するのであれば危険を承知の上、以下の設置、設定を確認上使用してみてください（保障は一切致しません）

1、アンチウイルスソフトでフルスキャンをかけておく

2、サポート終了直前に、WindowsUpdateでパソコンをすべて最新状態にしておく

3、ＨＤＤをリカバリする羽目になった時の為に、バックアップを取っておく
（外部ＨＤＤでも良いが、特に重要なデータはＤＶＤ－Ｒなどの記録媒体が望ましい）

＜注意＞

リカバリすると言う事は、パソコンを出荷状態に戻しますので、重要なデータは別途バックアップを取って置く事をお勧めいたします。

また、リカバリディスクの有、無で対応が変わってきますので、事前確認は必要です。

プレインストール版や、リカバリディスクが付いてきたものなど。

4、ブラウザのセキュリティレベルを「高」にする（見られないサイト発生覚悟の上）ＩＥの場合、
ツール→インターネットオプション→セキュリティとたどります。

セキュリティレベル

ただ、ブラウザに関しても製品によってはサポート対象外になると思いますので、
強度を上げれば安全と言う保障はありません。（ＩＥ６は同時期にサポート終了）

5、ブロードバンドルーターの設置及び、設定（ブロック機能を有効活用する）

6、ファイヤーウォールの導入（Windows付属のものはサポート終了後は放置状態になりますので、フリーウェアなりで補強対策をした方が良いと思います）

7、アンチウイルスソフト（延長サポートメーカー製品もしくはフリーウェア製品）の導入

一時的な対応策としてはこんな所でしょうか
ＭＳを含めソフト開発側は「ここが不具合です」などと公開しませんのでパッチが配布されなくなれば、ファイヤーウォールの導入も効果薄と思います。

どうしてもWindowsＸＰを使い続けると言う方はお試しください。
ウイルスの温床にならない程度に・・・。

まとめ

自己責任で済まなくなる現実
極力、使い続けない方が無難です。
使い続ければそれだけリスクが蓄積して行き「自己責任」で済まなくなります。
動くから平気だろうと思っても、仮にメールで感染した場合、気が付かずそのまま第三者に配信してにウイルスをばらまくのはあなたです。（この辺は新旧関係ないですが）

本当に切実で怖い企業内対応
企業などでどうしてもWindowsＸＰでしか動かないソフトがあると言う事でしたら、そのパソコンだけインターネット環境を断つ事です。
勘違いされる方がいますが、サポート終了＝WindowsＸＰが使用不能になる訳ではなく、外部接続でウイルス感染のリスクが高まる為、使用を止めた方が良いと言う事です。
つまりは、ＬＡＮケーブルを抜き、完全なスタンドアローンにすれば安全性はかなり保たれます。

個人を含め、依然として3割強のシェアを持っているWindowsＸＰですので、今後、企業側の未対応の方が後に被害が拡大するのではと感じます。
理由①「対策費用が確保できない」
理由②「管理者がいないので分からない」
理由③「すべてWindowsＸＰ環境に依存しているので今は難しい」
理由④「移行が面倒、使えるから良い」
理由⑤「WindowsＸＰのサポート終了とはなにか分からない」と挙げればキリがありませんが、サポート終了後、数年の内にトラブルが拡大する可能性は否定できません。

2014年4月以降、WindowsＸＰのセキュリティホールを突いてくるアタック攻撃は確実に増えて行くでしょう。
サポート対象のＯＳでさえ標的にされる現実ですので、せめてＯＳくらいは最新に保ち、外部からのアタックを最小限に止めたい所です。

最新でも怖いアタック攻撃（参考リンク）

・ゼロデイアタック（IT用語辞典より）
セキュリティホールがメーカーで発見されても、対応前にアタックされるもの（有効な対応策なし）

・バックドア（IT用語辞典より）
不正侵入に成功した者が、次の侵入が容易にできる様に「裏経路」を仕掛けておく動作（かなり悪質）