Windows情報局ななふぉ出張所 第78回

MSはサポート終了したXPにもパッチを提供すべきなのか

　5月12日以降、世界に拡大した「WannaCry」が大きな注目を浴びる中、一般メディアにより報じられる機会も増えています。

国内でも連日のように話題に上るランサムウエア「WannaCry」。

　その中でもNHKは、時事問題を解説する「時論公論」のコーナーで「もっと早くXPにもパッチを提供すべきだった」と指摘。これまでのIT業界の常識を覆す主張として注目されています。

異例の手段としてXPにパッチを提供

　マイクロソフトはWannaCryが急速に拡大を始めた5月13日、すでにサポートが終了しているWindows XPやWindows 8（8.1にアップデートしていないもの）などに対し、「極めて異例の手段」と前置きしつつ、セキュリティパッチを公開しました。

WannaCryの拡大を防ぐべく、Windows XP用のパッチも例外的に公開。

　その背景には、NSAが作ったとされる「EternalBlue」など、Windowsの脆弱性を突く攻撃ツールの存在があります。こうしたツールをNSAが密かに利用していたことも非難の的になっていますが、Windowsの脆弱性自体もリモートから送り込まれたコードをシステム権限で実行してしまうという、致命的なものでした。

　脆弱性を作り出した原因はマイクロソフトにあるとはいえ、かつては想像もできなかった高度な攻撃であることもたしかです。そして最も重要な点として、Windows XPのサポートは組み込み向けや有償のカスタムサポートを除いて、すでに終了しています。マイクロソフトにパッチを提供する義務はないというのが、IT業界での一般的な見方でしょう。

デスクトップ版のWindows XPは2014年にサポートが終了している。

すべてのユーザーにフル機能のWindowsは必要なのか

　これに対してNHKは、XP向けにも3月にパッチを提供すべきだったとして、その理由を「基本ソフトというインフラを提供する企業の責任」と主張しています。

　一般に、社会のインフラを独占的に提供する事業者は高い公共性を求められ、法令によりさまざまな制約が課せられます。PC市場で独占的なシェアを占めるWindowsにも、インフラとしての側面はたしかにあるでしょう。

　一方で、自動車に車検があるように、PCという強力な道具を使うユーザーはそれをメンテナンスしていく責任があります。そういう意味では、WannaCryに感染したWindowsのバージョンは7が最多であるとの調査結果もあるように、パッチを当てずにWindowsを使っている人が多いことも、大きな問題といえます。

　実際には、「新しいOSに移行しよう」とか「定期的にパッチを当てよう」と呼びかけても、自分には関係ないと思っている人に行動を起こしてもらうのは難しいのが現実です。となれば、最初からできることが限られているiOSやAndroidのようにWindowsの機能を制限する「ロックダウン」も、ひとつの方向性といえます。

　Surface Laptopとともに発表した「Windows 10 S」では、アプリの入手をWindowsストアに限定し、WebブラウザーをEdgeに固定するなど、安全なWindowsを実現するためのロックダウンを試みています。

　言い換えれば、必ずしもすべてのユーザーにフル機能のWindowsは必要ない、という時代が訪れるかもしれません。このあたりはWindows 7のサポートが終わる2020年に向けての課題といえそうです

ASCII倶楽部

お知らせ