Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は？：ITの過去から紡ぐIoTセキュリティ（2/3 ページ）

Microsoftが5月、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムを用意。サポート切れなのに修正プログラムを提供するのはなぜ？

[高橋睦美，ITmedia]

　そして今回のパッチ提供です。Microsoftは特例措置の理由を、「この脆弱性を悪用するマルウェアが開発されると、WannaCryのように脆弱な端末に感染が広がる可能性があるから」と説明しています。

　WannaCryであらためて認識された通り、ネットワークにつながっているだけで感染する「ワーム」のインパクトは甚大です。ひとたび感染が広がると、駆除したと思っても別の端末でまた感染が発覚して“モグラたたき”のような状態になり、完全に駆除するまでには大きな手間がかかります。19年に入っても、いまだにWannaCryの感染事例が報告されるほどです。Microsoftはおそらく、こうした対応の手間や影響の大きさを考えて「例外措置」の判断を下したのでしょう。

2017年に猛威をふるったWannaCryの感染画面

　これ自体はありがたいことなのですが、複雑な気持ちにもなります。サポートが終了してから5年間がたった現在でも、いまだに無視できない数のWindows XPが動作していることの裏返しだからです。事実、米調査会社Net ApplicationsがまとめているOSシェア情報によると、19年4月の時点でも、Windows XPのシェアが2.46％あることが分かります。

　ほんの2〜3％ならば切り捨ててしまってもいいのではないか、という意見があるかもしれません。けれど、しばしばセキュリティは「鎖」に例えられる通り、システムやネットワークを構成するどこか1カ所に脆弱なポイントがあれば、そこが侵入の糸口になって社内の他のシステムに拡散したり、悪いときには他者に攻撃を仕掛ける基盤になってしまう恐れがあります。インターネット全体の健全性を高めるには、弱いところほどきちんと手当てしなければなりません。

　ならば、サポート終了に伴って新しいOSにバージョンアップすべきだ、それがオーナーとしての責任ではないか――これは言うまでもなく正論です。

　ただ、実際に取材してみると、「予算がない」「今まで動かしてきたこのアプリケーションがないと、仕事ができない」といった悩みを持つ企業も、特に中小・零細規模では多いと聞きます。セキュリティを重視する立場からは「そんなの言い訳だ、最新の環境にすべきだ」と切って捨てたくなるところですが、おそらく、それでは問題は解決しないでしょう。現に、Windows 7のサポート終了に伴って、今まさにWindows 10への移行を進めている企業も多いと思います。移行率95％、98％までは達成できても、それを99％、99.999％、100％に持っていくのは非常に難しいことです。