再考、Windows OSのライフサイクル――安心して2020年を迎えるために：山市良のうぃんどうず日記（106：特別編）（2/3 ページ）

サポート終了直後から累積し続ける脆弱性のリスク

　WindowsやInternet Explorer、Microsoft Office、Adobe Flashには、Windows Updateを通じて毎月、新しい脆弱（ぜいじゃく）性情報が公開され、それを修正するためのセキュリティ更新プログラムが提供され続けています。脆弱性情報やセキュリティ更新プログラムが提供されない月は、極めてまれなことです。

　サポートが終了すると、新しい脆弱性情報が影響するのかどうかさえ公表されず、もちろん対応するセキュリティ更新プログラムも提供されなくなります。Windowsは以前のバージョンと同じプログラムコードを多く含みます。新たな脆弱性の多くが、サポートが終了したWindowsにも影響しないわけがありません。

　サポート終了の最も大きな影響は、脆弱性情報やセキュリティ更新プログラムの停止により、修正されない脆弱性が放置されてしまうという「セキュリティリスクの増大」です。そして、脆弱性は毎月のように増えていくのです。

　2017年5月、ランサムウェア「WannaCry」（WannaCrypt、Wanna Cryptor、Wcryなどとも呼ばれています）が世界中を混乱させました。このランサムウェアの基になったハッキングツールで明らかになったその他の脆弱性は、引き続き悪用されているようです。そして、Microsoftは世界規模のサイバー攻撃に対策するために、2017年5月と6月、既にサポートが終了しているWindows XP、Windows 8およびWindows Server 2003についてもセキュリティ更新プログラムをダウンロード提供（Windows Updateでは提供されない）するという、例外的な対応を行いました。これは、あくまでも“特例措置”であり、今後も同じような対応を期待すべきではありません。

　WannaCryが悪用した脆弱性は、サポート対象OSに対して2017年3月にWindows Update経由で配布されたセキュリティ更新プログラムで修正済みでした。WannaCryの影響を受けたのは、サポートが終了したWindowsと、2017年3月以降の更新プログラムが適用されていなかった未対策のWindowsだったということです。2017年4月にサポートが終了したWindows Vistaも、適切に更新されていればWannaCryの影響を受けなかったことになります。仮に、Windows Vistaのサポートが2017年2月に終了していたとしたら、Windows Vistaもまた5月の救済措置まで脆弱性が放置されたことでしょう。

　サポートが終了するとマルウェア対策製品の対応が終了するか、一定の猶予期間を経て終了します。これもセキュリティリスクを増大させる大きな理由です。Windows Vistaの状況を見ると、「Microsoft Security Essentials」や「System Center Endpoint Protection」は、サポート終了と同時に機能しなくなるでしょう（画面2）。他社のセキュリティ製品についても、いずれサポートされなくなります。

画面2　Microsoft Security Essentialsは、Windows XPのときは一定期間の猶予が提供されたが、Windows Vistaではサポート終了と同時に機能しなくなった

　この他にも、Microsoftが公開しているサポート技術情報やドキュメントも、いずれ利用できなくなる可能性があり、トラブル対応のための情報の入手が難しくなります。例えば、Windows XPやWindows Server 2003／2003 R2向けのドキュメントの多くは、2016年1月に1つのPDFドキュメントにアーカイブされ、オリジナルは削除されました。削除されたものの中には、PDFドキュメントに含まれないものもあります（画面3）。

• Windows Server 2003／2003 R2の削除されたコンテンツ（Microsoft ダウンロードセンター）

画面3　2016年7月にアーカイブされたレガシーOS向けドキュメント。以前あった情報の全てをカバーしているわけではない

“EMETがあるから安心”はできない

　Windows 7のセキュリティ強化の一手段として、未修正あるいは未知の脆弱性を緩和するツール「Enhanced Mitigation Experience Toolkit（EMET）」を利用し、安心を得ている個人ユーザーや企業もあると思います。EMETは構成の難しさや副作用（アプリのクラッシュなど）はありますが、確かに脆弱性を悪用した攻撃を防ぐのに役立つことがあります。

　しかし、EMETは開発終了が決まっており、現在のバージョンEMET 5.5x（最新は5.52）のサポートは2018年7月末に終了します。EMETはマルウェア対策ソフトウェアではないので、定義ファイルの更新はありません。また、サポートが終了しても引き続き同じ機能を提供しますが、サポート終了後はEMETに重大な問題があってもその情報が公表されたり、修正されたりすることはなくなります（画面4）。Windows 7サポート終了後の未対策の脆弱性対策として、EMETに期待することはできません。

• Moving Beyond EMET［英語］（Microsoft TechNet｜Security Research & Defense ）

画面4　Windowsやアプリケーションの未対策の脆弱性を緩和するEMET。2018年7月末、Windows 7より先にサポートが終了することに注意

　EMETの開発は終了しますが、EMETと同様の機能が2017年10月中ごろにリリースされるWindows 10の次期バージョン「Windows 10 Fall Creator Update」（バージョン1709）に搭載される予定です（画面5）。

画面5　「Windows Defenderセキュリティセンター」に統合されたEMET由来のセキュリティ機能「Exploit Protection」。画面は、Windows 10 Fall Creator Updateに向けた2017年9月時点のInsider Previewビルドのもの（表紙や仕様は変更の可能性あり）

　なお、画面5はInsider Previewビルドのものなので、正式リリースで変更になる可能性があります。EMETのセキュリティ機能がどうしても欲しいという場合は、Windows 10にアップグレードまたはリプレースするしかありません。