Windows XP/Office 2003サポート終了後の「世界」:「XPサポート終了」の具体的影響
2014年4月9日にWindows XP/Office 2003はサポート終了日を迎えた。だが、そもそも「サポート終了」とは何なのか、その後の「世界」はどうなるのか、どのような影響があるのか? 判明している事実をまとめてみた。
発売から12年以上、そして当フォーラムの人気記事「XP/Vista→Windows 7 完全移行マニュアル」の公開から約4年半、とうとうWindows XP/Office 2003のサポート期間が終了してしまった。
だが、サポート終了日の2014年4月9日以後も、相当数のWindows XP/Office 2003搭載PCが現役で稼働し続けている。サポート終了後、Windows XP/Office 2003に何が起こるのか、具体的にどのような影響があるのだろうか? 判明している事実をまとめてみる。
「特例」を除いて、新たなセキュリティパッチの無償提供が止まった
サポート終了による最も大きな影響は、セキュリティパッチ(セキュリティ更新プログラム/修正プログラム)の新規提供が止まることだ。サポート期間中は、新たな脆弱性が発見・報告されるたびに、マイクロソフトはその脆弱性を解消するためのセキュリティパッチを開発・配布してきた。ユーザーはWindows UpdateやWSUS、またはダウンロードセンターを介して、そのセキュリティパッチを無償で入手・適用することで脆弱性を解消できた。
しかしサポートが終了したため、こうした新規セキュリティパッチの無償提供も終了した*1。たとえ新たな脆弱性が見つかって広く世間に知れ渡っても、マイクロソフトがその脆弱性を解消するためのセキュリティパッチを(少なくとも無償で)提供することはない。また、その脆弱性が本当にWindows XP/Office 2003に存在するのか、どれくらい危険なのか、といった情報をマイクロソフトが公表することもないだろう。こうして脆弱性は解消されず、いつまでも放置される。ウイルスやマルウェアからすれば非常に攻撃しやすくなるため、セキュリティ上の危険性は大幅に高まることになる。
*1 2014年5月2日、マイクロソフトは2014年4月下旬に発覚したIEの脆弱性を解消するために、Windows XP+IE6〜IE8用のセキュリティパッチをリリースした。
- IEの脆弱性を修正する緊急アップデート公開、XPにも「特例」で提供(@IT Security & Trustフォーラム)
- セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開(マイクロソフト公式ブログ「日本のセキュリティチーム」)
公表されたセキュリティ情報MS14-021には、「影響を受けるソフトウェア」としてWindows XPがリストアップされている。新規セキュリティパッチの提供終了というアナウンスとは矛盾するが、同社は「Windows XP をご利用の一般ユーザーが、いまだ非常に多い状況を受けての特別な措置です。」としており、Windows XPのサポートが終了していることに変わりはない。
サポート終了後、新たに発覚した脆弱性は解消されなくなる
前述の「特例」を除けば、サポート終了後に発覚したWindows XP/Office 2003の脆弱性にはセキュリティパッチが提供されないため、いつまでも脆弱性が残ったままになる。結果として、ウイルスやマルウェアなどによる攻撃で損害を被る危険性は大幅に高まってしまう。
ちなみに、脆弱性ではない不具合を修正するためのパッチについては、すでに無償の新規提供は終了している。
●Windows XPに組み込まれているコンポーネント用パッチも無償提供終了
Windows XPに組み込まれているInternet ExplorerやMedia Playerなどのコンポーネントについても、OS本体と同じタイミングで新規セキュリティパッチの無償提供は終了している。
注意が必要なのは、こうした組み込みのコンポーネントに対するセキュリティパッチ提供期間が、それを搭載しているOSのサポート終了時期に左右されるという点だ。例えばInternet Explorer 6(IE6)はWindows XPだけではなくWindows Server 2003/2003 R2にも標準で組み込まれている(プレインストールされている)。しかしWindows Server 2003/2003 R2ではOSのサポート終了時期である2015年7月までセキュリティパッチが提供されるのに対し、Windows XPではもう終了している。もちろんWindows Server 2003/2003 R2+IE6用パッチをWindows XP+IE6に適用することはできない(エラーが発生する)。
同名のコンポーネントでもOSによって新規セキュリティパッチの無償提供終了時期は異なる
これはInternet Explorer 6(IE6)の例。Windows XPとWindows Server 2003/2003 R2のどちらにもプレインストールされているが、それぞれの新規セキュリティパッチの無償提供終了時期はOSと同じ2014年4月と2015年7月である。そのため2015年7月までの間にIE6の脆弱性が見つかり、かつ前述のような「特例」扱いをされなければ、それはWindows Server 2003/2003 R2では解消できるのに、Windows XPでは解消されずに残ったままになる。
●有償でのセキュリティパッチ提供は?
サポート終了後、マイクロソフトがこれまで無償だったセキュリティパッチを有償で提供する可能性はあるのだろうか? この点について同社は公式に発表しておらず、単に「2014年4月9日をもってセキュリティパッチの提供を終了した」とのみ表明している。
技術的な問い合わせの回答がマイクロソフトから得られなくなった
これまでWindows XP/Office 2003のユーザーは、製品に関して技術的に不明な点やトラブルシューティングに関して、有償ではあるもののマイクロソフトに問い合わせることができた(無償の問い合わせサポートはすでに終了している)。しかしサポート終了後、こうした問い合わせについても回答を得られなくなった。もはやマイクロソフトのスタッフに相談してトラブルの解決に当たることはできない。
技術情報の更新が終了した
技術的な問い合わせができなくなった以上、より一層マイクロソフトのサポート技術情報(MSKB)やTechNetなどの技術情報を頼りにすることになるだろう。しかし、Windows XP/Office 2003に関するサポート技術情報(MSKB)やTechNetなどの技術情報は、2014年4月9日をもって「更新」が終了した。サポート終了後に何か状況が変わったとしても、記載内容が更新されないということだ。
Windows XP/Office 2003に関するサポート技術情報/TechNetの「更新」が終了した
これはサポート技術情報(MSKB)の例。サポートが終了すると、こうした情報ページの更新も終了するが、ページそのものの掲載は最短でも2015年4月まで継続される。
既存のMSKBやTechNetの掲載は、サポート終了後、最短でも1年間(すなわち2015年4月9日まで)は継続される。実際のところ、MSKBでは、いまだにWindows NT/2000の情報が検索にヒットすることもあるので、2015年4月に公開終了となる可能性は低そうだ。とはいえ、必要な情報は今のうちに保存しておいた方が無難だろう。
仮想マシン上のWindows XPもサポート終了
サポート終了の対象は仮想マシンでも例外ではない。物理マシン同様、仮想マシン上で稼働するWindows XPにも新規セキュリティパッチは提供されない。
Windows 7 Professional/Enterprise/Ultimateで利用できるWindows XP専用の仮想マシン「Windows XPモード」も、サポートは終了した。そのWindows XPモードを引き続き利用していると、「お使いのコンピューターがセキュリティやウイルスのリスクにさらされる可能性が高くなる場合があります」とマイクロソフトは説明している。
- Windows XPモードの解説ページ(マイクロソフト)
XPのサポート終了後も利用できるウイルス対策ソフトウェアがある
セキュリティパッチの新規提供が止まったことから、脆弱性を攻撃するウイルスやマルウェアから可能な限りWindows XP/Office 2003を防御するために、ウイルス対策ソフトウェア(セキュリティソフト)の重要性はいやが上にも増している。そのウイルス対策ソフトウェアは2014年4月9日を過ぎた今、どのように変わったのだろうか?
●インストール済みのMicrosoft Security Essentialsは2015年7月まで利用可能
Microsoft Security Essentials(MSE)は、Windows XPを始めとするWindows OS向けにマイクロソフトが無償で配布しているウイルス対策ソフトウェアである。このMSEのWindows XP版インストーラーの配布はすでに終了しており、新規インストールはできない。現在のMSEのダウンロードページから入手できるインストーラーは、Windows Vista/7だけに対応したバージョンに差し替えられている(Windows XPではエラーが発生してインストールできない)。
- Microsoft Security Essentials(ダウンロードセンター)
その一方で、インストール済みのMSEには2015年7月15日まで、パターンファイル(定義ファイル、シグネチャ)とプログラム(ウイルスを検索するエンジン)の更新が継続される。
Microsoft Security Essentials(MSE)の更新は2015年7月まで継続される
Windows XP版MSEの新規インストールはできなくなったが、インストール済みのMSEに対してはパターンファイルやプログラムの更新が2015年7月15日まで継続される。その一方で、サポートの終わったWindows XPを使い続けていることを警告するために、「PCの状態」は常に「危険」と表示されるようになった。
また、マイクロソフトの企業向け製品のSystem Center Endpoint Protection、Forefront Client Security、Forefront Endpoint Protection、Windows Intuneに含まれるウイルス対策機能についても、2015年7月15日まではパターンファイルとエンジンの更新が行われるとのことだ。
悪意のあるソフトウェア削除ツール(MSRT)は2015年7月まで利用可能
マイクロソフトはMSEとは別に、「悪意のあるソフトウェア削除ツール(Malicious Software Removal Tool: MSRT)」というマルウェアの削除ツールをWindows Updateやダウンロードセンターから無償で配布している。MSRTは新たなマルウェアを削除できるように継続的に更新されているが、これも2015年7月14日までWindows XPで利用できるとのことだ。
- MSRTのダウンロードページ(マイクロソフト ダウンロードセンター)
他のウイルス対策ソフトウェアもサポートを継続
他のベンダーのウイルス対策ソフトウェアについては、Windows XPのサポート終了後も数年という単位でWindows XP上での利用をサポートし続けると表明しているところが多い。
| 開発・販売元 | 対象製品 | サポート期間などの概要 | 関連リンク | |
|---|---|---|---|---|
| ESET(キヤノンITソリューションズ) | Endpoint Protection Standard/Advanced(ライセンス製品) | 最短でも2017年2月28日までサポートを継続 | ライセンス製品の「Windows XP」へのサポート対応、Windows XPから新しいパソコンへの移行について | |
| NOD32アンチウイルス、Smart Security、オフィス セキュリティパック、パーソナル セキュリティ、ファミリー セキュリティ(パッケージ/ダウンロード製品) | 現在のところは、サポートを終了する予定無し(終了する1年前には公表予定) | パッケージ/ダウンロード製品の「Windows XP」へのサポート対応、Windows XPから新しいパソコンへの移行について | ||
| カスペルスキー | Endpoint Security 8(CF2)/10 for Windows、インターネットセキュリティ2014、アンチウイルス2014 | 最短でも2016年1月31日までパターンファイルの配信を継続 | カスペルスキー製品のWindows XP対応 | |
| シマンテック | Endpoint Protection(SEP) 11.0/12.1 | 当面の間、サポートを継続 | XPサポート終了に伴うSEPの対応 | |
| ノートン(アンチウイルス/インターネットセキュリティ/360/360 マルチデバイス/セキュリティ/セキュリティ with バックアップ) | 当分の間、サポートを継続 | Microsoft 社のサポート終了後の Windows XP コンピュータに対する保護について、ノートン製品を新しいバージョンの Windows に移行する方法 | ||
| ソースネクスト | ウイルスセキュリティZERO、スーパーセキュリティZERO、クラウドセキュリティZERO | 2015年12月31日までワクチンファイルを提供(サポートは対象外) | Windows XPサポート終了のお知らせ、Windows XPをお使いのお客様へ | |
| トレンドマイクロ | ウイルスバスター(コーポレートエディション/ビジネスセキュリティ/ビジネスセキュリティサービス)、Deep Security、Portable Security | 最短でも2017年1月30日まで利用可能。製品によっては有償で延長可能 | エンドポイント製品WinXP対応、XPサポート終了後の法人向け製品のサポート対応 | |
| ウイルスバスター クラウド | 2015年12月31日までアップデートを配信 | エンドポイント製品WinXP対応、XP サポート終了後のウイルスバスターの対応 | ||
| マカフィー | VirusScan Enterprise 8.7i、Host Intrusion Prevention 7.0、Site Advisor Enterprise 3.0 | 2015年3月31日まで無償サポートを提供。有償で2016年3月31日までサポートを延長可能 | XPのサポート終了に対する移行ソリューション、2014年4月以降のWindows XP SP3サポート体制 | |
| VirusScan Enterprise 8.8、Host Intrusion Prevention 8.0、Site Advisor Enterprise 3.5、SaaS Endpoint Protection、Agent 4.8 | 2015年12月31日まで無償サポートを提供。有償で2016年12月31日までサポートを延長可能 | |||
| Windows XPサポート終了後の主要なウイルス対策ソフトウェアの対応予定 ここでの「サポート期間」はあくまでもWindows XPで利用することを前提にしている。詳細は関連リンク先のページを参照していただきたい。 | ||||
ただし「サポートされている」といっても、
- 技術サポート(問い合わせ)対応
- パターンファイルの更新
- プログラム(エンジン)の更新
といった区分けごとに細かく期限が異なる場合がある。またウイルス対策ソフトウェア本体を最新版に更新しないと、サポートが受けられないこともある。さらに、OSに起因するトラブルは(おそらくはベンダーからマイクロソフトへの技術的問い合わせが終了するため)解決できないこともある、とのことだ。
サポート切れでも、Windows XP/Office 2003が動かなくなるわけではない
サポート終了日を過ぎたからといって、いきなりWindows XP/Office 2003の動作が停止して使えなくなる、ということではない。前述のようにセキュリティ上の危険性は高まるものの、利用すること自体は可能だ。また以下のように、一部のサービスはサポート終了以降も利用できる。
●サポート終了日以前にリリースされたパッチは引き続き適用できる
前述の通り新たなパッチは提供されなくなったが、2014年4月9日までにリリースされた既存のセキュリティパッチや不具合修正パッチについては、引き続き配布されている。現在でもWindows Updateを実行すると、2014年4月9日以前にリリースされたパッチがリストアップされ、適用できる。
またダウンロードセンターから提供されているオフラインで適用可能なパッチのインストーラーも同様に、引き続きダウンロードできる。
これらのサービスは、サポートが終了してから最短でも1年間は継続されるとのことだ。
●Office 2007/2010の新規パッチは引き続き適用できる
Windows XPとそのコンポーネントの新規パッチ提供は終了したが、Windows XPのシステム全体で見ると、まだ新規パッチが提供される場合がある。Office 2007/2010がWindows XP上にインストール済みの場合、それらのパッチは今後新たにリリースされるものも含めて適用できるとのことだ。なお、Office 2007は2017年10月、Office 2010は2020年10月まで新規セキュリティパッチが提供される予定だ(それまでWindows XPのWindows Updateや自動更新が継続されるかどうかは不明だが)。
Windows XP上のOffice 2007/2010には新規パッチを適用できる
今後リリースされるOffice 2007/2010の新規パッチは、たとえWindows XP搭載PCであっても、Windows Updateなどから適用できる。
●アクティベーション(ライセンス認証)も引き続き実行できる
Windows XP/Office 2003を新たにインストールした際に必要となるアクティベーション(ライセンス認証)は、2014年4月10日以降でも実行できる。電話によるライセンス認証のための窓口も引き続き利用できるとのことだ。サポート終了後に再インストールを余儀なくされたとき、ライセンス認証ができないせいで使い続けられない、という事態は回避できることになる。なお、ラインセンス認証の終了時期は未定とのことだ。
サポート終了日は過ぎ去ってしまったが、Windows XP/Office 2003の「世界」は完全に終わってしまったわけではない。Windows XP/Office 2003はまだ実行可能であり、一部のサポートサービスは引き続き利用できるからだ。
とはいえ、セキュリティ上の危険性が高まることは避けられない。まず、ウイルス対策ソフトウェアのサポートはしばらく続くものの、新規提供が止まるセキュリティパッチの役割をウイルス対策ソフトウェアが完全に担えるわけではないことは、当のセキュリティベンダーが表明している。
- 「ウイルス対策ソフトはサポート切れのXPを守れません!」 業界を挙げて移行を訴求(ITmediaエンタープライズ)
また、2015年7月まで提供されるWindows Server 2003のセキュリティ情報が、Windows XPに残っている未知の脆弱性を見つける手掛かりになり、結果として攻撃の危険性を飛躍的に高めることになる。サーバー固有の機能を除けば、Windows Server 2003のシステムはWindows XPと共通の部分が少なくないからだ。
- まじめな話、5月14日からのXPは本当に危険(@IT Server & Storageフォーラムの「“Windows XPのサポート終了のお知らせ”のお知らせ」)
実際、2013年5月〜2014年4月に公表されたセキュリティ情報のうち、Windows OSに由来する脆弱性はWindows XPとWindows Server 2003で共通だった。
| Windows Server 2003 | Windows Vista | Windows 7 | Windows 8 | |
|---|---|---|---|---|
| Windows XPと脆弱性の有無が食い違っているセキュリティ情報の件数 | 0件 | 10件 | 13件 | 15件 |
| 上記の割合 | 0% | 17% | 22% | 26% |
| Windows XPとその他のWindows OS間で食い違っているセキュリティ情報の件数 2013年5月〜2014年4月に公表されたセキュリティ情報のうち、Officeやサーバーソフトウェアなどを除くWindows OSとそのコンポーネントに由来する計58件について、脆弱性の有無をWindows XPと比較してみた(「緊急」「重要」といった深刻度の違いは含めていない)。Windows Server 2003は全く食い違いがなく、それだけ脆弱性がWindows XPと似通っていることを表している。 | ||||
このような事情があるにも関わらず、前述のセキュリティ情報MS04-021のような特例がない限り、Windows XPに対してはセキュリティパッチが提供されないのだから事態は深刻である。可能な限り速やかに、サポート対象の製品/サービスへ移行したりアップグレードしたりするべきである。
■関連リンク
- 【Windows XP、Office 2003 サポート終了まであと 6 日】あらためて、「使い続けるリスク」のまとめ(マイクロソフト公式ブログ「日本のセキュリティチーム」)
- 「ウイルス対策ソフトはサポート切れのXPを守れません!」 業界を挙げて移行を訴求(ITmediaエンタープライズ)
- “Windows XPのサポート終了のお知らせ”のお知らせ(@IT Server & Storageフォーラム)
- IEの脆弱性を修正する緊急アップデート公開、XPにも「特例」で提供(@IT Security & Trustフォーラム)
- セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開(マイクロソフト公式ブログ「日本のセキュリティチーム」)
■更新履歴
【2014/05/07】Windows XPに組み込まれているコンポーネントや仮想マシン上のWindows XP 、Windows XP上の「悪意のあるソフトウェア削除ツール(MSRT)」やOffice 2007/2010それぞれのサポートについて追記しました。またセキュリティパッチにおけるWindows XPとWindows Server 2003との関連性と危険性についても追記しました。
【2014/05/02】Windows XP向けに新たな脆弱性(MS14-021)を解消するセキュリティパッチが「特例」としてリリースされたことを追記しました。また既存の技術情報やパッチの提供が、サポート終了後、最短でも1年間継続されることを追記しました。
【2014/04/30】サポート終了後に発覚した新たなIEの脆弱性について、Windows XPへの影響が公表されていないことを追記しました。
【2014/02/19】初版公開。
「特集」
Copyright© Digital Advantage Corp. All Rights Reserved.