Microsoftの更新サービス、2020年も苦いスタートを切る：その知識、ホントに正しい？ Windowsにまつわる都市伝説（155）

Microsoftが毎月、Windowsやその他の製品に対して提供する「品質更新プログラム」。ここ数年、品質更新プログラムが“品質を向上する更新”ではなく、“品質を低下させる更新”なんじゃないかという状況が続いているように感じます（個人の感想です）。2020年に入って2カ月、幾つかの品質更新プログラムがさまざまな問題を引き起こしているようですが、Microsoftが認識し、公表しているものをまとめてみました。なお、Microsoftから公表されていないものの、ユーザーフォーラムなどでは2020年2月のセキュリティ更新を原因とする他の深刻な問題（ユーザープロファイルやデータの消失、起動不能になるなど）も指摘されているようです。ご注意ください。

[山市良，テクニカルライター]

Windowsにまつわる都市伝説

2020年1月のWindows 7の最後のセキュリティ更新、壁紙を破壊する

　2020年1月14日に延長サポートが終了した「Windows 7」は、その日にリリースされたセキュリティ更新プログラム（日本では翌日の15日に利用可能に）が、最後の累積的な更新プログラムになるはずでした。

　しかし、その日にリリースされた以下のセキュリティ更新プログラムには、特定の条件下で「壁紙が真っ黒になってしまう」という不具合が発生しました。Windows Updateで配布されたのはマンスリーロールアップ（マンスリーセキュリティ品質ロールアップ）で、セキュリティのみの更新プログラムは「Microsoft Updateカタログ」または「Windows Server Update Services（WSUS）」のみで提供されたものです。

• 2020年1月15日−KB4534310（マンスリーロールアップ）（Windows サポート）
• 2020年1月15日−KB4534314（セキュリティのみの更新プログラム）（Windows サポート）

　“特定の条件下”とは、壁紙の画像の配置オプションとして「画面に合わせて伸縮（Stretch）」を設定している場合です。この問題は、2020年1月のセキュリティ更新のインストール後に壁紙を設定した場合でも、いったんログオフして再ログオンすると再現できました（画面1）。

画面1　Windows 7の最後のセキュリティ更新プログラムが原因で、「画面に合わせて伸縮」するように配置した壁紙が真っ黒な表示に。この例では選択中の正方形の画像が壁紙に設定されている

　Windows 7に対する2020年2月以降のセキュリティ更新プログラムは、「拡張セキュリティ更新プログラム（Extended Security Updates、ESU）」を購入した場合か、Microsoft Azure上のWindows 7 Enterpriseに対してのみ提供されることになります。しかしながら、この壁紙問題の修正を全てのユーザーに提供することをMicrosoftは約束し、2020年2月8日（日本時間）に以下のマンスリーロールアップのプレビューまたはスタンドアロン更新プログラムが提供されることになりました（画面2）。

• 2020年1月31日−KB4539601（マンスリーロールアップのプレビュー）（Windows サポート）
• Windows 7 SP1およびServer 2008 R2 SP1で［Stretch］に設定されている壁紙が黒で表示される（Windows サポート）

画面2　2020年2月8日（日本時間）に「2020-01」から始まる名称のマンスリーロールアップのプレビューがESUの有無に関係なく提供されたのは、全てのユーザーに壁紙問題の修正を約束したため

　更新プログラムの名称の「2020-01」というリリース月が示すように、マンスリーロールアップのプレビューは、毎月後半にリリースされる新たなセキュリティ修正を含まない累積的な更新プログラムです。主に、翌月のマンスリーロールアップに含まれる予定のセキュリティ以外の修正を、先行的に評価できるように提供されています。更新プログラムの名称とは異なり、2020年2月8日になって遅れてリリースされたのは、ESUを購入していないデバイスに対してもインストールできるように修正が加えられたからでしょう。

　なんとも恥ずかしい、Windows 7のサポート終了でした。もし、ESU非購入者でWindows 7をこれからも使い続けるというなら、もうWindows Updateの不具合に悩まされることもなく、安定したPC環境を利用できると思います。ESU購入者は、最大2023年1月まで毎月、Windows Updateの不具合におびえながら過ごすことになるでしょう。

　なお、ESUの対象は、「Microsoft Security Response Center（MSRC）」での深刻度「緊急（Critical）」および「重要（Important）」レベルのセキュリティ問題に対するセキュリティ更新プログラムです。サポートが終了したWindows 7と「Windows Server 2008／2008 R2」には2月のマンスリーロールアップのプレビューは提供されなかったのはそのためでしょう（Windows 8.1〜Windows 10 バージョン1809向けには2020年2月26日に提供されています）。1月のマンスリーロールアップのプレビューは、壁紙問題がなければ提供の予定はなかったのかもしれません。

2020年2月UEFIブート関連のスタンドアロンセキュリティ更新、取り下げ

　2020年2月12日（日本時間）のWindows Updateでは、いつもの累積的な更新プログラムとは別に、スタンドアロンのセキュリティ更新プログラムが配布されました。これらのセキュリティ更新プログラムは、サードパーティーのUEFIブートマネージャの脆弱（ぜいじゃく）性問題を解消するためのものでした。

• Security update for Windows 10, version 1607, 1703, 1709, 1803, 1809, 1903 and 1909: February 11, 2020［英語］（Windows support）
• Security update for Windows 10, version 1507, Windows 8.1, RT 8.1, Server 2012 R2, and Server 2012: February 11, 2020［英語］（Windows support）

　このセキュリティ更新プログラムには、インストールに失敗するなど幾つか問題があり、数日後には配布が停止されました。この更新プログラムの提供が再開されることはなく、将来、問題を改善した別のセキュリティ更新プログラムとして配布される予定です。

　既にインストールが成功した場合、どう対処すればよいのかはっきりしませんが、もしインストールに成功したのがWindows 10であれば、アンインストールしておくことをお勧めします。セキュリティ更新プログラム「KB4524244」の既知の問題として、「PCのリセット（このPCを初期状態に戻す）」が失敗するという問題があるからです（画面3）。

画面3　スタンドアロンのセキュリティ更新プログラム「KB4524244」がインストールされていると、Windows 10の「PCのリセット」機能が正常に機能しなくなる

　2020年2月以降のWindows Updateやその他の利用でPC環境がおかしくなってしまい、PCのリセットで解決しようとしてこの問題で失敗するということになれば、もうどうしてよいか分からなくなるかもしれません。

　筆者が確認した限り、セキュリティ更新プログラム「KB4502496」がインストールされている「Windows 8.1」の「PCのリフレッシュ」には、失敗するといった影響はありませんでした。Windows Serverには「PCのリセット」や「PCのリフレッシュ」の機能は搭載されていません。

　ただし、「KB4524244」と「KB4502496」のMicrosoftサポート情報には詳しく書いていませんが、“If this update is installed and you are experiencing issues, you can uninstall this update（この更新プログラムがインストールされたことで問題が発生する場合は、この更新プログラムをアンインストールできます）”の複数形の「issues」は別の問題が発生する可能性を示唆しています。現状、何も影響がなさそうでも、アンインストールしておいた方がよいかもしれません（画面4）。アンインストールするかしないかは、各自のご判断で。

画面4　スタンドアロンのセキュリティ更新プログラム「KB4524244」または「KB4502496」は、アンインストールしておくことをお勧め

2020年2月のWindowsコンテナイメージに問題ありにつき、提供取り下げ

　「Windows Server 2016」およびWindows 10は「コンテナ（Containers）」機能を搭載しており、「Docker Enterprise」または「Docker Desktop Community」を導入することで、Dockerエンジン上でWindowsコンテナをホストすることができます。

　Microsoftは毎月、最新のセキュリティ更新プログラムが適用された「Windows Server Core」「Nano Server」、およびWindows（完全なAPIを提供するためのイメージ）のコンテナイメージを作成し、「ltsc2016」「ltsc2019」「1803」「1809」「1903」「1909」タグは最新のイメージを参照するように変更されます。

• Windows Server Core［英語］（Docker Hub）
• Nano Server［英語］（Docker Hub）
• Windows［英語］（Docker Hub）

　2020年2月のイメージも提供されましたが、すぐに問題が見つかり、2日後には取り下げられ、「ltsc2016」「ltsc2019」「1803」「1809」「1903」「1909」の各タグは2020年1月のイメージを参照するように変更されました。

　その時点でも2020年2月のイメージは、「バージョン-KB番号」のタグ（1607-KB4537764、1803-KB4537762、1809-KB4532691、1903-KB4532693、1909-KB4532693）を明示的に指定することで取得することができました（これらのタグのイメージは既に削除されました）。

• You might encounter issues when using Windows Server container images with the February 11, 2020 security update release［英語］（Microsoft Support）

　問題とは、コンテナを実行するホストのWindowsに2020年2月のセキュリティ更新プログラムがインストールされていない場合、2020年2月のベースOSイメージから作成したコンテナを開始しても実行状態にならないということです（画面5）。

画面5　2019年10月を最後に更新していないWindows 10 バージョン1903（ビルド18362.418）で、2020年1月のイメージ（ビルド18362.592）のコンテナは実行できるが、2020年2月のイメージ（ビルド18362.657）のコンテナは5分たっても実行状態（Up）にならない

　この問題は、「プロセス分離モード」（「Windows Serverコンテナ」とも呼ばれます）、「Hyper-V分離モード」（「Hyper-Vコンテナ」とも呼ばれます）に関係なく発生します。問題が発生していることは、「docker run」コマンドを実行して応答が返ってこないことで分かることもあれば、「docker build」コマンドがタイムアウトエラーで失敗する、Kubernetesクラスタにデプロイしたコンテナが実行状態になってくれない、コンテナ内のアプリケーションがうんともすんとも言わない、などで気が付くこともあるようです。

　Windowsコンテナは、プロセスモードで実行する場合、ホストとコンテナでビルド番号（例：10.0.18362）の一致は要求されることはあっても、リビジョン番号（例：10.0.18362.xの.xの部分）の一致まで要求されることはありません。

　Hyper-V分離モードで要求されるのは、ホストとコンテナが同じビルドかホストよりコンテナが下位のビルドという制限だけです。つまり、ホストのセキュリティ更新プログラムのインストール状況が特定バージョンのコンテナの実行に影響するというのは、ユーザーからすれば全く想定外の挙動なのです。

　この問題があまり話題になっていないのは、DockerやKubernetesでのWindowsコンテナの存在感の薄さを示しているのかもしれません。なお、この問題の解消されたイメージが2020年2月18日（米国時間）付けで利用可能になっているため、現在は影響を受けることはありません。

　2020年2月の末時点で「ltsc2016」「ltsc2019」「1803」「1809」「1903」「1909」タグは、以下の問題が解消された2020年2月のイメージを参照するようになっています。各イメージのリビジョン番号は問題のあったイメージより「1」だけインクルメントされています。

• Windows Server base OS container image for Windows Server, version 1903 and Windows Server, version 1909−KB4546853（OS Build 18362.658 and 18363.658）［英語］（Microsoft Support）
• Windows Server base OS container image for Windows Server 2019 and Windows Server, version 1809−KB4546852（OS Build 17763.1040）［英語］（Microsoft Support）
• Windows Server base OS container image for Windows Server, version 1803−KB4546851 （OS Build 17134.1305）［英語］（Microsoft Support）
• Windows Server base OS container image for Windows Server 2016−KB4546850（OS Build 14393.3506）［英語］（Microsoft Support）

2020年2月末から予定されていたOffice 365 ProPlusの新機能、提供延期

　ここからは、Microsoftの思惑通りにいかなかった2つの件について紹介します。

　日本市場では実施予定はありませんでしたが、Microsoftは2020年2月末から3月にかけて、「Office 365 ProPlus」の更新（バージョン2002）に含める形で、「Google Chrome」の既定の検索エンジンを「Microsoft Search in Bing」に変更しようと計画、アナウンスしていました。当初の計画では、米国、英国、オーストラリア、カナダ、フランス、ドイツ、インドで実施し、対象を「Mozilla Firefox」にも拡大しようとしていました。

　2020年2月11日（米国時間）、直前になってこの実施は見送られ、実施時期は未定となりました。

• Introducing - and Managing - Microsoft Search in Bing through Office 365 ProPlus［英語］（20202年1月22日のアナウンス）
• Update to Microsoft Search in Bing through Office 365 ProPlus（2020年2月11日のアナウンス）
• BingおよびOffice 365 ProPlusでのMicrosoft Search（Microsoftの公式ドキュメント）

　実施見送りの理由は、「ユーザーからのフィードバック」ということになっています。一方で、2月11日のアナウンスでは“we've heard from many customers who are excited about the value Microsoft Search provides through Bing（Microsoft SearchがBingを通じて提供する価値に興奮している多くのお客さまからの声を聞いた）”とも書いていますが、これらの公式ブログに寄せられたコメントのほとんどはそのような声ではないようです。

2020年3月に予定されていたLDAPのセキュリティ強化、実施延期

　Microsoftの思惑通りにいかなかったもう一つの件は、2020年3月のセキュリティ更新プログラムに含める予定だった、「LDAP（Lightweight Directory Access Protocol）のセキュリティ強化」（既定の挙動の変更）の実施です。これは、2019年8月セキュリティアドバイザリで公表され、2019年12月に2020年3月の実施がアナウンスされました。また、日本語を含む公式ブログでも周知のためのアナウンスが行われました。

　しかし、実施を翌月に控えた2月初めになって見送られました。現時点では、2020年後半の実施予定ですが、詳細については2020年3月のセキュリティ更新プログラムのリリース時点で発表される予定です（3月のセキュリティ更新では実施されませんが、ドメインコントローラー向けの新しいポリシー設定が追加される予定です）。

• ［AD管理者向け］2020年LDAP署名とLDAPチャネルバインディングが有効化。確認を！（Microsoft Security Response Center）
• ADV190023｜LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス（Microsoftセキュリティ更新プログラム ガイド）

　Active Directoryの管理者で、今回の計画や実施見送りについて初めて聞いたという人もいるかもしれません（当初、AD LDSにも影響するとされていましたが、2020年2月末時点で影響する製品から削除されました）。現状のままでは、利用者が積極的に探さない限り、重要な情報にたどり着けないと思います。もう少し周知の方法を考えた方がよいと思いました。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。