Windows Server 2012／2012 R2のESUに“抜け道”なし――サポートが終了したOSをセキュアに保つ正規の方法とは：検証！ Microsoft＆Windowsセキュリティ（9）

Windows Server 2012／2012 R2に対して「拡張セキュリティ更新プログラム（ESU）」を通じて提供される「セキュリティ更新プログラム」は、Microsoft Updateカタログから誰でもダウンロード可能です。しかし、それをインストールするには“ESUを利用する権利”が必要です。ESUを知らずにセキュリティ更新プログラムを入手、インストールした場合、どうなるのでしょうか。検証してみました。

[山市良，テクニカルライター]

検証！　Microsoft＆Windowsセキュリティ

ESUを利用するにはインスタンスをAzureに移行するか、ESUを購入する必要あり

　2023年10月10日に製品サポートが終了した「Windows Server 2012／2012 R2」に対しては、1年目の「拡張セキュリティ更新プログラム（Extended Security Update、ESU）」が提供されています。

　ESUは最大3年間利用可能で、2026年10月までWindows Server 2012／2012 R2のセキュリティ更新プログラムを受け取ることができます。ESUは「SQL Server 2012」にも用意されており、2023年7月から2年目のESUが提供されています。Windows Serverの場合は「緊急」または「重大」と評価されているセキュリティ問題が、SQL Serverの場合は「緊急」と評価されているセキュリティ問題が対象になっています。

　ESUは「Microsoft Azure」（以下、Azure）上のインスタンス（Azure VM《仮想マシン》にインストールされているインスタンス）には無料で提供され、Azure以外（オンプレミスの物理／仮想マシン、他社クラウド上のインスタンス）には「Windows Serverソフトウェアアシュアランス（SA）」契約者に対して販売されています。ESUは年単位で購入する他、「Azure Arc」を通じた月次サブスクリプションでも利用できます。

• Windows ServerおよびSQL Serverのサポート終了に備える（日本マイクロソフト）

　Windows Server 2012／2012 R2でESUのセキュリティ更新プログラムを受け取るには、「ESUライセンス準備パッケージ（KB5017220またはKB5017221）」をインストールする必要があります。

　Azure上のインスタンスは、そのまま「Windows Update」や「Windows Server Update Services（WSUS）」を通じてESUのセキュリティ更新プログラム（Monthly Rollup）を受け取ることができます（画面1）。Azure以外の場合は、さらにESUの購入と「ESUライセンスキー」の入手、ESUライセンスキーのインストールが必要になります。いずれにも該当しない場合は、ESUの更新プログラムは提供されません（画面2）。

画面1　Azure上のWindows Server 2012 R2インスタンスには、Windows Updateを通じて2023年11月のセキュリティおよび品質ロールアップ（.NET Framework用およびWindows Server用）が提供された

画面2　ESUを利用できないWindows Server 2012／2012 R2には、2023年11月以降のセキュリティ更新プログラムは提供されない。2023年10月のものが最後のセキュリティ更新プログラム

Windows Server ESUの更新プログラムパッケージはダウンロード自由だけど……

　Windows Server 2012／2012 R2に対し、ESUを通じて毎月リリースされるセキュリティ更新プログラムは、「更新履歴（update history）」のWebページで確認できます。

• Windows Server 2012 update history［英語］（Microsoft Support）
• Windows 8.1 and Windows Server 2012 R2 update history［英語］（Microsoft Support）

　各更新プログラムのリリース情報を見ればすぐに分かりますが、更新プログラムの「Microsoft Updateスタンドアロンパッケージ（.msu）」は「Microsoft Updateカタログ」サイトから誰でもダウンロードできます。

　ちなみに、SQL ServerのESUのセキュリティ更新プログラムは、Microsoft Updateカタログでは公開されていません。Azure上のインスタンスの場合は、Windows Updateを通じて提供され、Azure以外のインスタンスの場合は「Azureポータル」にSQL Serverを登録し、ダウンロードリンクを入手する必要があります。

ESUなしでESUの更新プログラムのインストールを試みることは“時間の無駄”

　Windows Server 2012／2012 R2のサポート終了は知っていても、ESUをよく知らず、ESU前提の更新プログラムのリリース情報にたどり着いた人の中には、月次更新プログラムがまだ利用可能と勘違いし、ダウンロードとインストールを試みるかもしれません。そうした場合、いったいどうなるのか、実際にやってみました。

　Microsoft Updateカタログサイトから「2023年11月のWindows Server 2012 R2のセキュリティ更新プログラム（KB5032249）」のパッケージをダウンロードして実行してみると、インストールがブロックされたり、エラーになったりすることなく、「インストールの完了」まで進みました（画面3）。

画面3　このまま「インストールの完了／今すぐ再起動」のページまで問題なく進んだ

　「今すぐ再起動」をクリックして再起動すると、何度か再起動を挟んで「更新プログラムを構成しています」の画面で進捗（しんちょく）が90％以上進み、もうすぐ100％というところで「Windows更新プログラムを構成できませんでした 変更を元に戻しています」と表示され、更新前の状態にロールバックされてしまいました（画面4）。

画面4　インストールは90％台終盤で失敗し、更新前の状態にロールバックされてしまった

　ロールバック後、Windows Updateの「更新履歴」や「イベントログ（システム）」を確認すると、「0x800F0922」エラーで失敗したことが記録されていました（画面5）。

画面5　「更新の履歴」と「イベントログ（システム）」には「0x800F0922」エラーによるインストール失敗が記録されていた

　Windows Server 2012でも「2023年11月のWindows Server 2012のセキュリティ更新プログラム（KB5032247）」のインストールを試みましたが、Windows Server 2012 R2と同様、更新プログラムのインストールがロールバックされ、「0x800F0922」エラーで失敗したことが記録されていました（画面6）。

画面6　Windows Server 2012向けの「2023年11月のセキュリティ更新プログラム」も、インストールの最終段階で「0x800F0922」エラーで失敗し、ロールバックされた

　さらに、Windows Server 2012 R2の「2023年11月の.NET Frameworkのセキュリティ更新プログラム（KB5032001）」も試してみましたが、3つある更新プログラムのうち再起動を要求しなかった2つはインストール最終段階に失敗し、1つはインストール完了後の再起動中にロールバックされ、いずれも「0x800F0922」エラーを報告していました（画面7）。

画面7　「2023年11月の.NET Frameworkのセキュリティ更新プログラム」も「0x800F0922」エラーで失敗（KB5031994は再起動中にロールバック）

　今回検証に使用したのは、2023年10月まで何の問題もなくWindows Updateで更新できていたWindows Server 2012／2012 R2のHyper-V仮想マシンであり、ESUは購入していません。全てインストールの最終段階に「0x800F0922」エラーで失敗するということが再現されたため、Windows Update自身のトラブルではないことは明らかです。ESUを購入していない（または、利用していない）Windows Server 2012／2012 R2に、ESUのセキュリティ更新プログラムをインストールしようとしたことが理由と考えて間違いないでしょう。

　今回の検証は、ESUをよく知らない人向けに、一見、利用可能なセキュリティ更新プログラムでも、“ESUなし”では利用できないことを示すためのものです。ESUの更新プログラムをESUなしでインストールする抜け道を探しているわけではありません。「0x800F0922」エラーを解消しようとして、無駄に時間を費やさないよう願います。どうしてもESUのセキュリティ更新プログラムが必要なら、Azureに移行するか、ESUを購入しましょう。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2008 to 2024（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。