Googleは以前からゼロデイ攻撃撲滅を目的としたProject Zeroチームを結成し、活動してきたが、その公式ブログにとある記事を投稿した。端的に述べると"MSがWindows 10を優先し、Windows 7/8.1に対するセキュリティパッチ提供が不十分"というものだ。
Mateusz Jurczyk氏は「Windows 10には存在しないが、Windows 7/8.1には未初期化のWindowsカーネルメモリー領域にアクセスできる脆弱(ぜいじゃく)性がある。(中略)Windows 10ではメモリーを初期化する処理が多数追加されている(中略)。ソフトウェアベンダーはサポートしているすべてのバージョンに対して、一貫したセキュリティの改善を推奨する」と述べている。Microsoftは本件に対して公式コメントを出していない。
振り返ると、MicrosoftはWindows 7/8.1利用者に対してWindows 10への移行をうながすため、2016年1月には「最新CPUをサポートするのはWindows 10のみ(2016年1月)」との方針を打ち出した。だが、同年3月には「Skylake搭載PC上のWindows 7/8.1のサポート期間を2017年7月17日から2018年7月17日まで1年間延長」。さらに同年8月には「法人向けSkylake搭載PCは延長サポート期間終了まで、セキュリティ更新プログラムを提供」と、一貫性を欠いた対応を繰り返してきた。同社としては否でも応でもWindows 10移行施策を推し進めたいのだろう。
個人的意見だが、いまさらWindows 7/8.1を使いたいとは思わない。仕事場の仮想マシンはもちろん、Microsoft Azure上の仮想マシンもWindows 10と比べれば起動時間も長く、単にWin32アプリを使う上でもWindows 7/8.1を選ぶメリットがないからだ。
企業の社員用PCはいまだWindows 7が多いものの「Windows 10 PCに乗り換えたい」という声は少なくない。ただ、これはOSそのものではなく「新しくて速いPCを使いたい」という意味が強く含まれるが。今後リースするPCは、2020年1月14日に延長サポート期間を終了するWindows 7ではなく、Windows 10がプリインストールOSとなるのは明らかだ。
話を更新プログラムに戻すが、Microsoftは2016年10月に月例更新プログラムの提供方法を変更している。それまで複数の更新プログラムを個別に提供していたが、Windows 7/8.1、Windows Server 2008 R2/2012/2012 R2を対象に、複数の更新プログラムをひとまとめにした累積アップデートに切り替えた。
Windows Update経由で配信されるのは、「セキュリティの月例の品質ロールアップ」と、セキュリティ以外の修正プレビューを含む「月例の品質ロールアッププレビュー」の2つ。そのため、セキュリティ更新プログラムの提供がずれ込む可能性は少なくない。
他方ですべてのバージョンをフルサポートしているITベンダーは存在するのかという疑問が湧き起こる。Jurczyk氏のお膝元であるAndroidのセキュリティパッチ提供状況はどのような状況だろうか。Googleがリリースするセキュリティ情報はWeb上で一般公開し、サポート終了日は非公開ながらも、バージョン4.xから最新のバージョン8.0に関するセキュリティ情報を網羅している。
ただし、セキュリティパッチはGoogle→AOSP(Androidオープンソースプロジェクト)→デバイスベンダー→エンドユーザーと手元に届くまでに相当な時間を要する。また、ベンダー独自のカスタマイズを施している場合、迅速に対応できない機種も出てきてしまうのが現状だ。つまりゼロデイ攻撃に対する防御が十分でないOSという見方もできる。
筆者は先日、Androidデバイスを1台購入したが、いまのところJurczyk氏が述べた「一貫したセキュリティの改善」という恩恵を受けた感はない。好意的に見れば、社内のセキュリティプロジェクトチームの意見と、企業全体のビジネスモデルが合致しておらず、「一貫した~」が自戒を込めた意見という捉え方もできる。
しかし、人材は有限資源である以上、MicrosoftがWindows 10など最新製品に注力するのはしかたないのではないだろうか。少なくともGoogleには、他社製OSや他社を批判するのではなく、自社OSの改善やエンドユーザーの利益になる配信システムの準備をお願いしたい。
阿久津良和(Cactus)