2014年4月9日に「Windows XP」のサポートが終了し、12年以上にも及ぶ長い歴史に幕を閉じた……はずだったのだが、現実はそううまく行かなかった。
4月28日に早速Windows XPを含む複数のOSバージョンで動作するInternet Explorer(IE)にゼロデイの脆弱性(ぜいじゃくせい)が発見され、ちょっとした騒動の後にMicrosoftは“例外的”な措置として、Windows XPの問題修正アップデートを提供したのだ。
そして1カ月ほどが経過した現在、この騒動のことを改めて振り返りつつ、Microsoftはなぜ例外的なアップデートを提供したのか、一部で続いているWindows XPのサポートとは何か、そして最近話題となったWindows XPのアップデートに関するちょっとしたトリックも含め、最新事情をまとめる。
問題となった脆弱性の情報は、Microsoftがアップデートの提供前に公開している。これはIE6〜11まで実質的にすべてのバージョンに発生する問題で、VML(Vector Markup Language)描画に使われているコンポーネントである「vgx.dll」のメモリ管理に由来する脆弱性により、リモートから悪意あるコードが実行可能になるというものだ。
この脆弱性は発表時点では問題を修正するアップデートが提供されておらず、いわゆる「ゼロデイ攻撃」の可能性を抱えた状態にあった。その後、同問題を修正するアップデートが5月2日に提供され、とりあえず一件落着した形だ。
ここまでであれば、脆弱性から修正パッチの提供と、一般的なソフトウェアでは比較的よく見かける光景なのだが、今回は事情が異なっていた。この脆弱性が発見されたのはWindows XPがサポートを終了した直後わずか3週間以内の出来事であり、「いまだWindows XPを使っているユーザーが、同OSに今後どう向き合っていくのか」の試金石になるとして、普段より大きな注目を集めていたのだ。
脆弱性の発覚直後は「Windows XPにアップデートは提供されないから、これをきっかけにOSの乗り換えを検討すべき」という意見が、筆者を含めて周囲では多くみられたと思っているが、結果としてMicrosoftは5月2日に“Windows XPも含めて”緊急アップデートを提供した。つまり、いい意味ではあるが、「約束を反故(ほご)」にしたわけだ。
Microsoftは5月13日(米国時間)、改めてWindows Blogに「Windows XP PCs No Longer Receiving Updates」というエントリを投稿し、5月2日の措置はあくまで例外であり、今後は一切Windows XPにアップデートを提供するつもりがないことを宣言している。
筆者の個人的な意見でいえば、「今回のWindows XP向けアップデートは“手間がかかっていない”とのことだが、一度宣言したものをすぐ反故にするのは、既存のユーザーにも、すでに乗り換えたユーザーにもマイナスにしかならない」という感想だ。「親切心があだにならなければいいのだが……」と余計な心配をしてしまう。
ところで、「手間がかかっていない」とはどういうことだろうか?
Windowsは複数のコンポーネントの集合体で構成されており、Windows XP以降のVistaや7といったOSでそのまま利用されているものもある。
以前に「Windows VistaはXPと類似点が多く、Vistaで見つかった脆弱性がそのままXPに悪用される危険性がある」というセキュリティリサーチ会社であるFFRIの話を紹介したが、今回の脆弱性はその典型的なものの1つだろう。
特に今回はIE6〜11と、かなり幅広いバージョンに渡って利用されている共通コンポーネントの問題であり、対象となるOSもWindows XPを含めて現行バージョンである8.1までほぼ全部となる。
ゆえに検証の問題を除くと、脆弱性の修正自体は現在もサポートが続いているWindows Vista以降のOSを対象にしようが、サポート切れのXPを含めようが、少々乱暴にいってしまえば、「それほど大差はない」ということになる。
つまり、Windows XP向けの修正アップデートの提供は「ついで」であり、Windows Updateを実行したときに「XPが対象に含まれるか」を設定するだけで、確かに手間はかかっていない。
これまで「Windows XPのサポートが終了した」と何度も説明しているが、実のところMicrosoftはWindows XPのアップデート対応を完全に終了したわけではなく、2つの観点からサポートを継続している。
1つは現在もサポート期間が残っているWindows XP Embedded(組み込み機器を対象としたWindows XP系OS)の存在で、Microsoftの説明によれば同OSの延長サポート終了は「2016年1月12日」となっている。Windows XPと完全に同じOSではないものの、少なくともあと1年半は同系統のOSのサポートが続くわけで、これをフィードバックすることでWindows XPも対応が可能だということを示している。
もう1つは有償サポートによる対応で、特定の企業や団体を対象として限定的に提供されるサービスだ。例えば、オランダや英国の政府機関では、Microsoftと有償契約を結ぶことで、実質的なサポート期間の延長を実現している。これは政府機関内にまだ大量のWindows XPマシンが存在しており、その移行が間に合わなかったことを受けての緊急措置であり、「Microsoftによる個別対応」の範囲に含まれる。
こうした対応は、法人向けにエンタープライズ・ソフトウェアを提供しているメーカーでは珍しくない。顧客が高額な契約金を支払うことで、本来のソフトウェアの更新サイクル(4〜5年程度とされている)を超えて、サポートの提供が継続されることになる。
契約に応じてあらかじめエンジニアのリソースを確保しておき、業務でのトラブル発生や、今回のような脆弱性やバグが発見された場合、個別対応の形でアップデートを提供したり、トラブルシューティングにあたるというわけだ。もっとも、これらは体力のある大手顧客や団体が対象の特別なサービスであり、中小企業やSOHOを含む個人ユーザーへの対応は実質的に終了している。
しかし先日、中国政府がWindows 8/8.1の調達を禁止する方針を打ち出したとして話題になったように、大手顧客であっても全面的な移行やサポート契約は難しい場合もある。中国政府機関でのWindows XPシェアは7〜8割に達するという説もあり、特定のOSに依存するのはコスト負担や将来への対応でリスクになる、との判断が働いたようだ。
Copyright © ITmedia, Inc. All Rights Reserved.