連載
» 2014年06月02日 06時00分 UPDATE

鈴木淳也の「まとめて覚える! Windows 8.1 Update」:サポート切れのWindows XPが“サポートされ続ける”事情 (1/2)

Windows XPのサポートは終了したはずだったが、IEのセキュリティアップデートが公開されたほか、Windows XP Embeddedのサポートは続き、特定企業や団体には有償サポートも提供されている。さらには、Windows Updateを継続させる裏ワザまで……。

[鈴木淳也(Junya Suzuki),ITmedia]
tm_1406win81up1_01.jpg Windows XPおなじみの「草原」も2014年4月9日で見納めのはずだったが……

 2014年4月9日に「Windows XP」のサポートが終了し、12年以上にも及ぶ長い歴史に幕を閉じた……はずだったのだが、現実はそううまく行かなかった。

 4月28日に早速Windows XPを含む複数のOSバージョンで動作するInternet Explorer(IE)にゼロデイの脆弱性(ぜいじゃくせい)が発見され、ちょっとした騒動の後にMicrosoftは“例外的”な措置として、Windows XPの問題修正アップデートを提供したのだ。

 そして1カ月ほどが経過した現在、この騒動のことを改めて振り返りつつ、Microsoftはなぜ例外的なアップデートを提供したのか、一部で続いているWindows XPのサポートとは何か、そして最近話題となったWindows XPのアップデートに関するちょっとしたトリックも含め、最新事情をまとめる。

IEの脆弱性騒動で約束を反故にしたMicrosoft

 問題となった脆弱性の情報は、Microsoftがアップデートの提供前に公開している。これはIE6〜11まで実質的にすべてのバージョンに発生する問題で、VML(Vector Markup Language)描画に使われているコンポーネントである「vgx.dll」のメモリ管理に由来する脆弱性により、リモートから悪意あるコードが実行可能になるというものだ。

tm_1403ie_02.jpg 5月2日にMicrosoftが公開したセキュリティ更新プログラムは、特例としてWindows XPとIE6も対象となった

 この脆弱性は発表時点では問題を修正するアップデートが提供されておらず、いわゆる「ゼロデイ攻撃」の可能性を抱えた状態にあった。その後、同問題を修正するアップデートが5月2日に提供され、とりあえず一件落着した形だ。

 ここまでであれば、脆弱性から修正パッチの提供と、一般的なソフトウェアでは比較的よく見かける光景なのだが、今回は事情が異なっていた。この脆弱性が発見されたのはWindows XPがサポートを終了した直後わずか3週間以内の出来事であり、「いまだWindows XPを使っているユーザーが、同OSに今後どう向き合っていくのか」の試金石になるとして、普段より大きな注目を集めていたのだ。

 脆弱性の発覚直後は「Windows XPにアップデートは提供されないから、これをきっかけにOSの乗り換えを検討すべき」という意見が、筆者を含めて周囲では多くみられたと思っているが、結果としてMicrosoftは5月2日に“Windows XPも含めて”緊急アップデートを提供した。つまり、いい意味ではあるが、「約束を反故(ほご)」にしたわけだ。

 Microsoftは5月13日(米国時間)、改めてWindows Blogに「Windows XP PCs No Longer Receiving Updates」というエントリを投稿し、5月2日の措置はあくまで例外であり、今後は一切Windows XPにアップデートを提供するつもりがないことを宣言している。

 筆者の個人的な意見でいえば、「今回のWindows XP向けアップデートは“手間がかかっていない”とのことだが、一度宣言したものをすぐ反故にするのは、既存のユーザーにも、すでに乗り換えたユーザーにもマイナスにしかならない」という感想だ。「親切心があだにならなければいいのだが……」と余計な心配をしてしまう。

なぜ5月2日の「Windows XP向けアップデート」は提供できたのか?

 ところで、「手間がかかっていない」とはどういうことだろうか?

si_xpend-02.jpg セキュリティリサーチ会社のFFRIが発表したデータによれば、Windows XPはWindows Vistaと共通のシステムコンポーネントが多く、Vistaで発見された攻撃方法がそのままXPにも通用する可能性が高いという

 Windowsは複数のコンポーネントの集合体で構成されており、Windows XP以降のVistaや7といったOSでそのまま利用されているものもある。

 以前に「Windows VistaはXPと類似点が多く、Vistaで見つかった脆弱性がそのままXPに悪用される危険性がある」というセキュリティリサーチ会社であるFFRIの話を紹介したが、今回の脆弱性はその典型的なものの1つだろう。

 特に今回はIE6〜11と、かなり幅広いバージョンに渡って利用されている共通コンポーネントの問題であり、対象となるOSもWindows XPを含めて現行バージョンである8.1までほぼ全部となる。

 ゆえに検証の問題を除くと、脆弱性の修正自体は現在もサポートが続いているWindows Vista以降のOSを対象にしようが、サポート切れのXPを含めようが、少々乱暴にいってしまえば、「それほど大差はない」ということになる。

 つまり、Windows XP向けの修正アップデートの提供は「ついで」であり、Windows Updateを実行したときに「XPが対象に含まれるか」を設定するだけで、確かに手間はかかっていない。

実は2つの観点から続いているWindows XPサポート

 これまで「Windows XPのサポートが終了した」と何度も説明しているが、実のところMicrosoftはWindows XPのアップデート対応を完全に終了したわけではなく、2つの観点からサポートを継続している。

tm_1406win81up1_02.jpg Windows XP Embeddedの延長サポート期間は「2016年1月12日」までとされている

 1つは現在もサポート期間が残っているWindows XP Embedded(組み込み機器を対象としたWindows XP系OS)の存在で、Microsoftの説明によれば同OSの延長サポート終了は「2016年1月12日」となっている。Windows XPと完全に同じOSではないものの、少なくともあと1年半は同系統のOSのサポートが続くわけで、これをフィードバックすることでWindows XPも対応が可能だということを示している。

 もう1つは有償サポートによる対応で、特定の企業や団体を対象として限定的に提供されるサービスだ。例えば、オランダや英国の政府機関では、Microsoftと有償契約を結ぶことで、実質的なサポート期間の延長を実現している。これは政府機関内にまだ大量のWindows XPマシンが存在しており、その移行が間に合わなかったことを受けての緊急措置であり、「Microsoftによる個別対応」の範囲に含まれる。

 こうした対応は、法人向けにエンタープライズ・ソフトウェアを提供しているメーカーでは珍しくない。顧客が高額な契約金を支払うことで、本来のソフトウェアの更新サイクル(4〜5年程度とされている)を超えて、サポートの提供が継続されることになる。

 契約に応じてあらかじめエンジニアのリソースを確保しておき、業務でのトラブル発生や、今回のような脆弱性やバグが発見された場合、個別対応の形でアップデートを提供したり、トラブルシューティングにあたるというわけだ。もっとも、これらは体力のある大手顧客や団体が対象の特別なサービスであり、中小企業やSOHOを含む個人ユーザーへの対応は実質的に終了している。

 しかし先日、中国政府がWindows 8/8.1の調達を禁止する方針を打ち出したとして話題になったように、大手顧客であっても全面的な移行やサポート契約は難しい場合もある。中国政府機関でのWindows XPシェアは7〜8割に達するという説もあり、特定のOSに依存するのはコスト負担や将来への対応でリスクになる、との判断が働いたようだ。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.