古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

サポート切れのWindows XPが“サポートされ続ける”事情

ITmedia NEWS のロゴ ITmedia NEWS 2014/06/01 ITMedia
サポート切れのWindows XPが“サポートされ続ける”事情: 5月2日にMicrosoftが公開したセキュリティ更新プログラムは、特例としてWindows XPとIE6も対象となった © ITMedia 提供 5月2日にMicrosoftが公開したセキュリティ更新プログラムは、特例としてWindows XPとIE6も対象となった

 2014年4月9日に「Windows XP」のサポートが終了し、12年以上にも及ぶ長い歴史に幕を閉じた……はずだったのだが、現実はそううまく行かなかった。

 4月28日に早速Windows XPを含む複数のOSバージョンで動作するInternet Explorer(IE)にゼロデイの脆弱性(ぜいじゃくせい)が発見され、ちょっとした騒動の後にMicrosoftは“例外的”な措置として、Windows XPの問題修正アップデートを提供したのだ。

 そして1カ月ほどが経過した現在、この騒動のことを改めて振り返りつつ、Microsoftはなぜ例外的なアップデートを提供したのか、一部で続いているWindows XPのサポートとは何か、そして最近話題となったWindows XPのアップデートに関するちょっとしたトリックも含め、最新事情をまとめる。

●IEの脆弱性騒動で約束を反故にしたMicrosoft

 問題となった脆弱性の情報は、Microsoftがアップデートの提供前に公開している。これはIE6〜11まで実質的にすべてのバージョンに発生する問題で、VML(Vector Markup Language)描画に使われているコンポーネントである「vgx.dll」のメモリ管理に由来する脆弱性により、リモートから悪意あるコードが実行可能になるというものだ。

 この脆弱性は発表時点では問題を修正するアップデートが提供されておらず、いわゆる「ゼロデイ攻撃」の可能性を抱えた状態にあった。その後、同問題を修正するアップデートが5月2日に提供され、とりあえず一件落着した形だ。

 ここまでであれば、脆弱性から修正パッチの提供と、一般的なソフトウェアでは比較的よく見かける光景なのだが、今回は事情が異なっていた。この脆弱性が発見されたのはWindows XPがサポートを終了した直後わずか3週間以内の出来事であり、「いまだWindows XPを使っているユーザーが、同OSに今後どう向き合っていくのか」の試金石になるとして、普段より大きな注目を集めていたのだ。

 脆弱性の発覚直後は「Windows XPにアップデートは提供されないから、これをきっかけにOSの乗り換えを検討すべき」という意見が、筆者を含めて周囲では多くみられたと思っているが、結果としてMicrosoftは5月2日に“Windows XPも含めて”緊急アップデートを提供した。つまり、いい意味ではあるが、「約束を反故(ほご)」にしたわけだ。

 Microsoftは5月13日(米国時間)、改めてWindows Blogに「Windows XP PCs No Longer Receiving Updates」というエントリを投稿し、5月2日の措置はあくまで例外であり、今後は一切Windows XPにアップデートを提供するつもりがないことを宣言している。

 筆者の個人的な意見でいえば、「今回のWindows XP向けアップデートは“手間がかかっていない”とのことだが、一度宣言したものをすぐ反故にするのは、既存のユーザーにも、すでに乗り換えたユーザーにもマイナスにしかならない」という感想だ。「親切心があだにならなければいいのだが……」と余計な心配をしてしまう。

●なぜ5月2日の「Windows XP向けアップデート」は提供できたのか?

 ところで、「手間がかかっていない」とはどういうことだろうか?

 Windowsは複数のコンポーネントの集合体で構成されており、Windows XP以降のVistaや7といったOSでそのまま利用されているものもある。

 以前に「Windows VistaはXPと類似点が多く、Vistaで見つかった脆弱性がそのままXPに悪用される危険性がある」というセキュリティリサーチ会社であるFFRIの話を紹介したが、今回の脆弱性はその典型的なものの1つだろう。

 特に今回はIE6〜11と、かなり幅広いバージョンに渡って利用されている共通コンポーネントの問題であり、対象となるOSもWindows XPを含めて現行バージョンである8.1までほぼ全部となる。

 ゆえに検証の問題を除くと、脆弱性の修正自体は現在もサポートが続いているWindows Vista以降のOSを対象にしようが、サポート切れのXPを含めようが、少々乱暴にいってしまえば、「それほど大差はない」ということになる。

 つまり、Windows XP向けの修正アップデートの提供は「ついで」であり、Windows Updateを実行したときに「XPが対象に含まれるか」を設定するだけで、確かに手間はかかっていない。

●実は2つの観点から続いているWindows XPサポート

 これまで「Windows XPのサポートが終了した」と何度も説明しているが、実のところMicrosoftはWindows XPのアップデート対応を完全に終了したわけではなく、2つの観点からサポートを継続している。

 1つは現在もサポート期間が残っているWindows XP Embedded(組み込み機器を対象としたWindows XP系OS)の存在で、Microsoftの説明によれば同OSの延長サポート終了は「2016年1月12日」となっている。Windows XPと完全に同じOSではないものの、少なくともあと1年半は同系統のOSのサポートが続くわけで、これをフィードバックすることでWindows XPも対応が可能だということを示している。

 もう1つは有償サポートによる対応で、特定の企業や団体を対象として限定的に提供されるサービスだ。例えば、オランダや英国の政府機関では、Microsoftと有償契約を結ぶことで、実質的なサポート期間の延長を実現している。これは政府機関内にまだ大量のWindows XPマシンが存在しており、その移行が間に合わなかったことを受けての緊急措置であり、「Microsoftによる個別対応」の範囲に含まれる。

 こうした対応は、法人向けにエンタープライズ・ソフトウェアを提供しているメーカーでは珍しくない。顧客が高額な契約金を支払うことで、本来のソフトウェアの更新サイクル(4〜5年程度とされている)を超えて、サポートの提供が継続されることになる。

 契約に応じてあらかじめエンジニアのリソースを確保しておき、業務でのトラブル発生や、今回のような脆弱性やバグが発見された場合、個別対応の形でアップデートを提供したり、トラブルシューティングにあたるというわけだ。もっとも、これらは体力のある大手顧客や団体が対象の特別なサービスであり、中小企業やSOHOを含む個人ユーザーへの対応は実質的に終了している。

 しかし先日、中国政府がWindows 8/8.1の調達を禁止する方針を打ち出したとして話題になったように、大手顧客であっても全面的な移行やサポート契約は難しい場合もある。中国政府機関でのWindows XPシェアは7〜8割に達するという説もあり、特定のOSに依存するのはコスト負担や将来への対応でリスクになる、との判断が働いたようだ。

●Windows Updateを継続させる“ハッキング”技もあるが……

 こんな中、つい先日にちょっとした“ハッキング”技が公開され話題になっている。Betanewsが5月26日に公開した「How to continue getting free security updates for Windows XP -- until 2019」という記事によれば、Windows XPのあるレジストリキーを書き換えることで、最大2019年までアップデートの提供を受け続けることが可能になるかもしれない……というものだ。

 前述のように、Windows XPと同じコンポーネントを持ちながらサポート期間の長いOSがあり、特定のレジストリを書き換えることで、まだサポートが終了していないOSのアップデートをXPでもWindows Update経由で取得できるという。

 該当するのは「Windows Embedded Industry(旧名:Windows Embedded POSReady 2009)」で、同OSは2019年4月9日までサポート期間がありながら、そのベースになっているのはWindows XP SP3だ。Betanewsではスクリーンショットとともに、すでにサポートが終了したはずのWindows XPで「Embedded POSReady 2009」向けのアップデートをWindows Update経由で取得できる様子を紹介している。

 理屈としては分かるが、本来はWindows XP向けに提供されているわけではないアップデートを無理やり適用しているわけで、将来的にどのような不具合が発生するのか不明な部分が大きい。もちろん、不具合が発生しても自己責任であり、Microsoftのサポートは得られない。

 同件を受けて、Microsoftの広報は「本来Windows EmbeddedとWindows Server 2003ユーザー向けに提供されるアップデートをWindows XPに適用しても、その効果は完全ではない」とコメントし、リスクの存在を警告している。

 これに関しては筆者も同意見だ。本来Windows XP上でテストされていないアップデートを適用する不確実な手段であり、決しておすすめできない。この裏ワザによって「まだアップデートが存在する」とは考えずに、Windows XPのユーザーは何らかの移行プランを早めに検討するのが上策だろう。

[鈴木淳也(Junya Suzuki),ITmedia]

ITmedia NEWSの関連記事

image beaconimage beaconimage beacon