Windows XPの延命策とリスクの大きさを知る

日本時間の2014年4月9日16:00にWindows XP(Windows Embeddedファミリーは対象外)、Office 2003、Internet Explorer 6のサポートが終了しました。

とは言え、サポート終了後も、金銭などのリソース的な理由や、現在利用しているアプリケーションが新しいOSに対応していないなどのシステム的な理由から、使い続ける(続けざるをえない)方もいらっしゃるのが現実だと思います。

私の立場としては、「サポートが継続されているものに乗換えを行ってください」ということが結論になるのですが、よい機会ですし、サポートとWindows系OSということをテーマにいくつか解説させていただきたいと思います。

著者プロフィール

辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

そもそもサポートとは

サポートと一言で言っても段階があります。

あまり普段から意識していない方もいらっしゃると思いますので、まずはそちらを整理しましょう。

サポートには、「メインストリームサポートフェーズ」と「延長サポートフェーズ」の2つの段階があります。異なるのはそれぞれのフェーズで「提供されるサポート」と「提供されないサポート」があるということです。

それぞれのフェーズごとに提供されるサポートの有無については以下のようなものになります。

	メインストリームサポート(全製品)	延長サポート(ビジネス用ソフトウェアのみ)
セキュリティ更新プログラム サポート	○ (あり)	○ (あり)
有償サポート(インシデント サポート、時間制サポート)	○ (あり)	○ (あり)
無償サポートライセンス、ライセンス プログラムおよび、その他の無償サポートを含む	○ (あり)	× (なし)
仕様変更、新機能のリクエスト	○ (あり)	× (なし)
セキュリティ関連以外の修正プログラムの作成の新規リクエスト	○ (あり)	※「延長修正プログラム サポート契約」が必要となります

それぞれのフェーズは、最低5年(合計最低10年以上)の期間が設けられており、Windows XPの場合では、メインストリーム終了が2009年4月15日(日本時間)、延長サポート終了が2014年4月9日(日本時間)であったということになります。

Windows XPの一般販売が2001年11月16日に行われているので、発売日を含むと4527日、12年半ほどのサポートが行われていたことになります。

それでは、現在延長サポートを終えていないWindows系OS、それぞれのフェーズの予定を確認しておきましょう。

Windows XPからの乗り換えに悪戦苦闘された方は特に今のうちにチェックしておいてください。

	メインストリームサポート終了日	延長サポート終了日
Windows Vista	2012年4月10日	2017年4月11日
Windows 7	2015年1月13日	2020年1月14日
Windows 8.1	2018年1月9日	2023年1月10日
※ Windows 8は、2016年1月12日にEOLとなりますのでそれまでに8.1に無償アップグレードを行う必要があります。

Windows XPの延命策は?

いろいろなメディアや企業からWindows XPの延命については情報が発信されていますが、それらはどれくらい有効なのでしょうか。

結論としては、「セキュリティ更新プログラムがマイクロソフトからリリースされなくなるという時点で、サポートが終了する以前から行ってきた以上のことはできません」となります。

できることは、アンチウイルスソフトウェアのパターンファイルを最新に保つこととEMET_※をインストールするくらいだと思います。

※ EMETとは

Enhanced Mitigation Experience Toolkitの略で、データ実行防止機能やメモリアドレスのランダム化といった脆弱性を利用する攻撃に対する軽減技術を提供するユーティリティソフトウェア。ゼロデイ攻撃(セキュリティ更新プログラムが提供されていない脆弱性を狙った攻撃)などに対して効果を発揮する。厳密には脆弱性は利用されてしまうのだが、その後に攻撃者の意図した命令を実行させないといった機能を提供する。

しかし、アンチウイルスソフトのパターンファイルを最新に保っていたとしても100%の検知を行うのが不可能であることは既に周知の事実です。

EMETは、脆弱性を悪用した攻撃を防止するユーティリティで、Windows XPでの利用可能条件はSP3以降なのですが、Windows XPでは、そのすべての機能を利用することはできません。また、マイクロソフトによるEMETの解説サイトには「このようなセキュリティ軽減テクノロジでは、脆弱性を悪用できないことは保証されません。しかし、悪用の実行を可能な限り困難にするように機能します。」と書かれています。完全に攻撃をブロックできるというものではなく、あくまで攻撃に対する軽減策であるということを留意しておく必要があります。

残念ながら、Windows XPを「今まで通り」使い続けることは不可能だと思います。

例えるなら健康保険に加入せず、生活することに近いと思います。

どんなに気をつけていたとしても人間は病気を患い、怪我もします。その際に健康保険に加入していなければ気が遠くなるような実費を支払うことになる可能性もあります。また、実費を支払うことにためらいを感じて、病院に行かずに騙し騙し生活をしていたら取り返しのつかない状態になり、最悪の場合死んでしまうかもしれません。

この例の「人間」を「OSを含むソフトウェア」、「健康保険」は「サポート」、「病気や怪我」は「脆弱性を利用されてマルウェア(コンピュータウイルス)に感染し、データが破壊、窃取されること」に置き換えられます。

つまり、実際の選択としては――OSを乗り換えて手間やお金などのリソースを"先に"かけるか、OSを乗り換えず、"被害に遭ったとき"にリソースをかけるか、の2択となります。後者の場合、前者よりも費やす手間とお金が多くなるのは言わずもがなです。

もちろん、Windows XPを使い続けた場合も「100%被害に遭う」とは言い切れません。しかし、後者の選択をした場合、どんなにお金や手間をかけても補えない被害が出てしまうという可能性があることは忘れてはいけません。分が悪いギャンブルだと私は思います。

さいごに

サポートが終了する日を「EOL(End Of Life)」と表現することがよくあります。

意味としては「寿命の終わり」といったものになるのですが、この日を境に「Windows XP」が死んでしまい、使えなくなるわけではありません。どちらかというと、もし病気を患ってしまっても、怪我をしてしまっても、それに対する治療をしてもらえないということです。

こう書くととても酷い扱いを受けているように感じるかもしれませんが、約12年半のサポートというのはかなりの長命の部類ですし、もっと評価されるべきことだと思います。

とは言え、冒頭でも述べた通り、止むに止まれぬ事情で使い続けるという選択しか出来ない方も沢山いらっしゃることかと思います。それを私たちは笑うことはできません。乗り換えを強制することもできません。

ただ、まずは現実を知り、受け止めて、覚悟をしてください。そう言うほかありません。これは、私たち情報セキュリティに従事する立場の人間の現実です。サポート終了を迎えてしまった今、できることは、これからどうするか。この先、いつ、どのようにステップを踏み出すかを考えるしかありません。マイクロソフト社は12年半もの間頑張ってくれました。私たちユーザも頑張らなければなりません。

Windows Vista　は 2017年4月11日、Windows 7 は 2020年1月14日 にサポート終了を迎えます。そのときには、多くの方、多くの組織が今回の経験を活かしたアクションを取ることができればいいなと思います。Windows XP の XP とは「eXPerience」に由来しているのですから。

本稿が、Windows XPから乗換えられていない方の現状を知る機会に、また、乗換えが完了済みの方にとっては、新たなOSのサポートがいつまでなのかを知り、次のステップをどうするかという計画を立てていただく機会になれば幸いです。

最後に一人のユーザとして一言。

Windows XP
Office 2003
Internet Explorer 6
長い間、お疲れ様でした。