サポートが終了したWindows XP向けの更新プログラム提供は誤った判断か 201
ストーリー by headless
安心 部門より
安心 部門より
Microsoftは4月末に発見されたIEの脆弱性について、既にサポートが終了したWindows XP向けにも更新プログラムの提供を開始した(/.J記事)。Microsoftの決断を歓迎する声が聞かれる一方で、Windows XPユーザーを強制的に新しいOSへ移行させる大きな機会を逃してしまったとの見方もあるようだ(ExtremeTechの記事、
Dwight Silverman's TechBlogの記事、
本家/.)。
MicrosoftではWindows XP向けの更新プログラムを提供した理由として、サポート終了から間もないことを挙げているが、脆弱性は今後も発見されるだろう。数年前からサポート終了に向けて危険性の周知が行われてきたにもかかわらず、例外を一度作ってしまえば今後も同様の対応が必要となる可能性がある。TechNet Blogsの「日本のセキュリティチーム」では「Windows XP をご利用の一般ユーザーが、いまだ非常に多い状況を受けての特別な措置です」と説明している。Windows XPのシェアが急激に減少する見込みがなければ、「特別な措置」が当分続くと受け止めてしまうユーザーが出てくるものとみられる。/.Jerはどのようにお考えだろうか。
MicrosoftではWindows XP向けの更新プログラムを提供した理由として、サポート終了から間もないことを挙げているが、脆弱性は今後も発見されるだろう。数年前からサポート終了に向けて危険性の周知が行われてきたにもかかわらず、例外を一度作ってしまえば今後も同様の対応が必要となる可能性がある。TechNet Blogsの「日本のセキュリティチーム」では「Windows XP をご利用の一般ユーザーが、いまだ非常に多い状況を受けての特別な措置です」と説明している。Windows XPのシェアが急激に減少する見込みがなければ、「特別な措置」が当分続くと受け止めてしまうユーザーが出てくるものとみられる。/.Jerはどのようにお考えだろうか。
マスメディアがIE離れの大合唱 (スコア:4, 興味深い)
そりゃMSもビビる
今回に限れば有効 (スコア:3, 興味深い)
今回の騒動は、サポート期間切れの何がやばいのかを素人の方々に説明するのに丁度いい事例でしたね。
社内でも、サポート期間が切れるとなにがやばいのかよく理解しないまま家でXPのまま使っている人がいましたが、
今回のことでどう危険なのかが端的に示されたので、理解が進みましたね。
#PCド素人な50代60代の方々への説明はなかなか骨が折れます。
#自分も職業的専門家ではないのですがね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:今回に限れば有効 (スコア:4, 興味深い)
「サポートが切れるから危ない、とか言っていたけど、ちゃんとまだサポートされるじゃない。
それにIEってのじゃないのを使えば大丈夫だと、ニュースで言ってたけど?」って感じです。
私にもっと知識と人間力があればちゃんと説明できるのでしょうが、
正直、全力をかけて説明するのがめんどくさいと思ってしまい、
「そうですね。でも危ないのには変わりないので安心しない方が良いかもですよ」と
呟くのが精一杯でした。
Re:今回に限れば有効 (スコア:2, 興味深い)
一般人:サポートサポートとうるさいから、XP使うの止めたよ。 でもさ、いつも使ってるスマホとタブレットのサポートどうなってるの? パッチなんかあてたことないんだけど。
Re:今回に限れば有効 (スコア:2)
今後のSIMフリー化で買い替えがにぶると問題になるかもしれませんね
Re: (スコア:0)
何も理解は進んでないのでは?
理解があったとすれば、MSのサポート力が貧弱なあまり十年以上も延々と残されている脆弱性がいくらでもあって、サポート期間中だろうが何だろうが、悪意のあるクラッカーには利用され続けてるんだなと言う事くらいか。
後は、ブラウザ程度ならChromeやFirefoxと言う選択肢もあるからそっちに移行すればいいんじゃない?ということくらいだね。
Re:今回に限れば有効 (スコア:3, すばらしい洞察)
最初から理解する気がなくて、相手をやり込めるために質問する人を相手に、
説明する人はいないんじゃないですかね
Re:今回に限れば有効 (スコア:1)
理解したい素人からの便乗質問。
今回の件はブラウザでリンク先をクリックしただけでPCを乗っ取られる云々という話だが、これは要するに「このリンク先が信頼できる場合だけ次に進め云々」という例の曖昧な警告メッセージを回避されるという問題なの?
それだけなら、その警告メッセージが出てもOKしてしまうユーザーは山程いると思うが、それだけの話?
Re:今回に限れば有効 (スコア:2, 参考になる)
https://technet.microsoft.com/ja-jp/library/security/2963983 [microsoft.com]
今回の脆弱性は画像ファイル(VMLというとてもマイナーなベクタ画像形式)を読み込む部分(VGX.DLL)の不具合によるものです。
細工されたVMLファイルをInternet Explorer(に組み込まれているVGX.DLL)で読み込ませることによりメモリの内容を不正に書き換え、実行コードを攻撃者の望むコードに置き換えられてしまう問題です。
デタラメについてはどうなのかなと言われても私には解りません。
Re: (スコア:0)
renja氏の知る素人は理解できた。そしてそれ以下の人も世の中には居るということだな。まあ上々か。
Re:例え (スコア:2)
例えっていうのは、あまりやりたくないけど、車検切れのクルマという辺りでひとつ。
Re:例え (スコア:2)
だから、例えっていうのは、あまりやりたくないんだ。
Re:例え (スコア:2)
ここを見ている人々なら、説明せずとも察せるくらいの頭はあると思うのだけどね。
車検が切れたクルマのように、時間が経つとともに事故が起こりやすくなる。
自分が怪我するだけならまだしも他人を巻き込む事もある。
直せないのだから買い換えなさい。
っと。
(´・ω・`)面倒だなあ。
Re:今回に限れば有効 (スコア:1)
「サポート切れの製品は使わない」
これだけを理解し、実践すればよろしい。
たぶん「素人」に「サポート切れ」の意味は理解できないから、アナロジーとして「賞味期限切れ」と言い換えた方が分かってもらいやすいのでは。MS自身には立場的にそういういい加減なことはできないけれど、マスコミにならできたはず。
サポート期限は賞味期限でも品質保持期限でもないし、ましてや安全保障期限なんかではぜんぜんないのですが、「感覚」とか「気分」に訴えるには正確に理解されていなくても身近な言葉を使った方がいいでしょう。
Jubilee
Re:今回に限れば有効 (スコア:1)
特定組織に対する限定的な攻撃を行っている輩に「蛇の道は蛇」な筋から高額のオファーが行って、攻撃コードが買い取られて例えば政府機関や先端技術企業への攻撃に転用されるリスクを無視できますか?私はそれらの組織の中の人にはできないだろうと思います。
ステマって、ステルスマーケティングのことでしょうが、誰がなんの目的でやるマーケティングを想定していますか?MSに対するFUD?なら因果応報って気もしますけど、誰がやるんでしょう?Google?
Jubilee
Re:今回に限れば有効 (スコア:1)
#2495180で参照されている記事はXPのリプレースとは直接関係ないIE6-11の脆弱性の話だったので、釣られてオフトピなコメントを書いてしまいました。すみません。
まとめると政府と財務省(政府公報局)が消費税増税のためにがんばっているなーっと思ったのです。
なるほどー。そういうのを「ステマ」と呼ぶのですね。「マーケティング」に引っ張られたせいで理解できませんでした。もう違う言葉になっていると考えるようにします。つまり、「陰謀」の別名だと。この場合は「政府の陰謀」ですね。
企業等のWindowsパソコンの使用者であれば、セキュリティ対策がそれなりにとられているので(と仮定して)、改めて騒ぐ必要はないです。いつも通り、0デイ攻撃の発覚→臨時更新プログラムの配布開始→(動作確認後に)自動更新でおしまいです。十分な対策を取っていれば改めて行うことはとくにないわけで注意喚起程度が適当に思えます。
0-dayということは臨時更新もなくて緊急のワークアラウンドが必要になる期間が生じることがあるわけで、企業によっては「注意喚起」ではすまないかも知れません。慌てず急いで騒がず粛々とやるでしょうが、今回は影響範囲が広いのでワークアラウンドも大がかりになったかも知れません。社内のセキュリティ対策で何をやったかなんて公表しないでしょうけれど。
確かに0デイ攻撃は無視できない脅威ですが、かといってセキュリティ対策に使える資源は限られていますので、他の脅威と比べれば優先度は下がります。
それはその組織の資源配分についての判断次第なのでは。一概に言えるようなことではないでしょう。
であるがゆえに、私たちは安全を半分だけはあきらめなければならないのです。
「安全を半分だけあきらめる」というのは、「絶対の安全を達成できないことは認める(諦める)が追求する努力は諦めない」ということでよろしいですか?その努力に費やすリソースをどの程度にするかは評価と判断のしどころですが。
高度文明社会を生きるわたしたちは不便を受け入れる心の余裕が必要なのです。
物質的豊かさを手に入れていなくても、いや手に入れていなければますます、不便は受け入れざるを得ませんよ。何だかえらく大きな話になりましたね(^^;。
Jubilee
Re: (スコア:0)
これ読んで声の高い社長の会社が思い浮かんだ。。。
時期と状況を見れば妥当な判断 (スコア:2)
対応しないで放って置いた時の、企業としてのリスクを考えれば妥当な判断だとは思います。
・ 残念ながら残存するXPマシンが相当量残っていること
・ 本脆弱性を悪用された場合の、MS自身への批判、企業イメージダウンに対するリスクが相当見込まれること
・ サポート終了から間もない時期の脆弱性報告であり、かつ、十分深刻な問題であった。
別にサポート期間の復活とかいった宣言がまったくないので、契約、義務には基づかない
やむをえないサービスとしてのリリース以上のものでもありませんし。。
他のプラットフォームと比べて、話題になりやすいのはデスクトップPC&Windows XPが社会のインフラになったことと、インターネット接続が常態化したが故なんでしょうね。
Re:時期と状況を見れば妥当な判断 (スコア:2, 興味深い)
「XPの問題」ならば、出さなかったかもしれませんね。
しかし今回の問題は「インターネットエクスプローラーの脆弱性」だった。
もしXPを使うならインターネットエクスプローラーをやめて他を使えば解決というアナウンスも。
MSには
「XPはもう知らないので無視」
「たとえサポート切れOSでもインターネットエクスプローラー『だけ』問題があるという状況にはしない」
の二択があった。
そして後者をとっただけですね。
え? (スコア:2)
> 数年前からサポート終了に向けて危険性の周知が行われてきたにもかかわらず、
> 例外を一度作ってしまえば今後も同様の対応が必要となる可能性がある。
ないでしょ。
今回だけっていうだけでしょ。
Re:え? (スコア:2)
やると言ったことをやらないのでなく、
やらない予定のものをやっているのでいいんでないの?
なにを信用していて、どこに信用を失う要素があるの?
有料化すればいいじゃん (スコア:1)
XPユーザーのための特別サポートを有料化すればいいだけの話だと思うがねえ。
それでこそ、M$。
Re:有料化すればいいじゃん (スコア:1)
オープンソース系のOSでもサポート期間が区切られている場合があるし、
お金を払えばやってくれるなら、逆に親切じゃなかろうか。
Re: (スコア:0)
つ[プレミアサポート]
ていうか今回プレミアサポートで金払ってる人たちはもっと怒るべきだと思うんだが金持ち喧嘩せずってやつ?
正直、どうでもいい (スコア:1)
パッチが出れば当てるし、出なければそのまま使う。
今の用途なら、タブレットで十分だと言うことがわかって、PCは更新しなかったから。
今回はたまたまIEのモジュールだったからだろう (スコア:1)
IE6が動いてサポート期間中のOSもまだあるし、バイナリとしては同じものだからもののついでで対象にしてもらえただけでしょ。
これがもしも、XP特有の脆弱性だったら、MSが自分から情報を公開することもない。対応されないことがわかってる以上、一般公開は悪用を広めるだけなのでセキュリティベンダもまともなところは発表しないだろう。
つまり、MSも把握しているがXPにしか影響がないから公表すらされず放置されている問題があっても不思議ではない状況だってことですな。
何か問題が出るたびに対応を期待するみたいな希望は捨てるべきだと思う。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:今回はたまたまIEのモジュールだったからだろう (スコア:1)
つまり、MSも把握しているがXPにしか影響がないから公表すらされず放置されている問題があっても不思議ではない状況だってことですな。
何か問題が出るたびに対応を期待するみたいな希望は捨てるべきだと思う。
XP に影響する脆弱性が、サポート切れを待って闇取引されているのではという懸念は以前からあった。その第一弾が見つかったという話だろう。
今回、MS は緊急対応でクラッカー側の出ばなをくじき、強い態度を見せた。
だが、XP の有料サポートを結んでいる顧客の手前、そう何度も無料でパッチを公開できるとは思えない。
ほとぼりが冷めたころに第二弾以降が現れるだろうし、もう特別扱いはないと心得るべきだ。
「日本のセキュリティチーム」では (スコア:0)
米国が決定したことなのでどうしようもありません。米国の見解は以下の通りです………じゃないの?
さらにさかのぼれば、Windows HP Home Editionの当初言ってたサポートライフサイクルから外れた「拡張サポートを行う」という判断からこのズルズル感は続いてますぜ。
今回の説明だと、今後毎月悪用しやすいWindowsゼロデイが発覚して毎回XPも攻撃対象とわかったら、毎回パッチを提供しなきゃいけないことになるんだけどなぁ……
Re:「日本のセキュリティチーム」では (スコア:5, 興味深い)
ここでWindows XPのサポート期間の推移を振り返ってみよう。
2001年2月~ 2002年10月 [microsoft.com] メインストリームサポートが一般発売後3年間、延長サポートが+1年間。当時のポリシーではセキュリティホットフィックスを延長サポート期間中でも無償提供するような特別扱いはしていなかったらしい。
2002年10月17日~ 2004年6月1日 [microsoft.com] メインストリームサポートが一般発売後5年間、延長サポートが+2年間、コンシューマー製品には延長サポートはなし。
2004年6月2日以降 [impress.co.jp] ビジネス製品のメインストリームサポートは5年と次期製品発売から2年のどちらか長い方、延長サポートは10年と次次期製品発売から2年のどちらか長い方。この時点ではコンシューマー製品には新ポリシーは適用されず、Windows XP Homeのサポートは2006年12月31日だった。
2006年2月 [itmedia.co.jp] Windows XP Homeのメインストリームサポート期間にも、特例でビジネス製品と同じルールを採用。これによりサポート終了が2009年4月8日まで延長。この後全コンシューマー製品に適用対象が拡大されたらしい。
2007年1月 [impress.co.jp] Windows XP Homeにも特例で延長サポートを提供。これによりサポート期間は2014年4月8日まで延長。
2012年2月 [technet.com] Windows Vistaと7のコンシューマー用製品にも延長サポートを適用。ちなみにWindows 8はそもそもビジネス用とコンシューマー用の区分がない [microsoft.com]らしい。
グダグダってレベルじゃねーぞ。
Re:「日本のセキュリティチーム」では (スコア:2, 参考になる)
個々のイベントの引き金はたとえばVistaの開発の大幅遅延だったりVistaの大不評だったりVistaとXPのサポート期間の逆転だったりするのでやや自業自得感もある。
Re:「日本のセキュリティチーム」では (スコア:1)
>VistaからXPへのダウングレードを許し、
XPには2000へのダウングレード権がないとでも思ってるの?
http://ascii.jp/elem/000/000/341/341737/ [ascii.jp]
デル(株)は23日、Windows XP Professionalのダウングレード版として、Windows 2000 Professional(SP4)を、2005年7月31日(予定)まで提供すると発表した。これは、マイクロソフト(株)がWindows 2000 Professionalの販売を3月31日に終了することを受けて行なうもので、Windows XP Professionalへの移行が間に合わない企業ユーザーや、Windows 2000ベースで開発された独自アプリケーションを多数持つユーザーが対象となる。
同日より2005年7月31日まで、Windows 2000 Professionalを搭載したクライアント製品を購入する場合は、Windows XP Professionalのダウングレード権を使用して、Windows 2000 Professional(SP4)をプレインストールした製品を購入できる。Windows 2000 Professionalはデルの自社工場内でプレインストールされて出荷され、将来、Windows XPに移行する際のOSの追加購入は不要。
Re:「日本のセキュリティチーム」では (スコア:1)
に“スイッチ”させないために経営上の判断でやってるだけで慈悲とは違うと思うけどなあ。
感謝する気持ちを持つのは勝手だけど他人に強制するようなものではない。
Re:「日本のセキュリティチーム」では (スコア:1)
IE、XPの新たなセキュリティホールを発見して攻撃することは多くの人々の利益に合致するのか!
はっかーのおにいちゃんたちがんばって♪
Re: (スコア:0)
HP の中の人もたいへんだな
家電製品はサポートが切れたら買い換えるものでは無い (スコア:0, すばらしい洞察)
家電製品は保障期限や法定の補修部品保管期限、故障修理対応期限が切れたら即座に買い換えるものでは無い
当然ながら一般人の認識としてサポートが切れたって動いているOSを買い換える必要は無い
どうしても買い替えさせたいなら一般人に周知徹底させるべく雑誌広告や販売店の店頭のPOP、オンラインショップの広告にデカデカとOSの使用期限を書いた上で売ってくれ
今だってWindows8のサポート期限とサポート期限が切れたらどうなるかをちゃんと表示して販売してるパソコンは無いだろ
Re: (スコア:0)
ので、家電(本体)は買い替えなくてもいいと思うよ。
Re: (スコア:0)
>家電製品は保障期限や法定の補修部品保管期限、故障修理対応期限が切れたら即座に買い換えるものでは無い
それはまぁその通り。
とは言え、20年物のファンヒーターやら湯沸かし器なんかを延々と使い続ける人もいる現実があるわけで。
「耐久消費財の全て」すべて、で括ると対象範囲に入らない物も多々有るだろうけれど、消費期限を明記するのも一つの方法とも思えます。
OSもその範疇に含めても良いように思いますよ。
#長く使い続けて、「メーカーからのお願い・・・」で、新品交換してもらえたら勝ち組なんでしょうかねぇ(苦笑)
Re:家電製品はサポートが切れたら買い換えるものでは無い (スコア:3)
Re:家電製品はサポートが切れたら買い換えるものでは無い (スコア:2)
今時普通の人はPC何のために買ってると思ってるの?
ネットに繋げられなくなる期限を明記すれば良いんじゃないの?シロウトにもわかりやすく売り場に書けばいいだけの話さ。
明記したら何か都合悪い事あるわけ?w
Re:家電製品はサポートが切れたら買い換えるものでは無い (スコア:2)
Re:家電製品はサポートが切れたら買い換えるものでは無い (スコア:2)
過去の話ではなく、これからの話としてこのままで良いというお考えですか?
自分は、PCやスマホはサポート期限を明記するべきだと思いますけどね。
なぜXPでこんな事態になってるのに未だに売り場で期限を見かけないのか?
(最近PC売り場なんて行かないから知らないだけ?)
#書いてるのより伸びればラッキーだし、会社つぶれるなりで縮んで残念になることもあるでしょうけど。
Re:家電製品はサポートが切れたら買い換えるものでは無い (スコア:2)
PC化に応じて仕方なくパソコンを買い、XPをただひたすら使い続けるという姿勢です。
そういった個人や企業は多いかと思います。
そういった層が妨げになっているためにスマフォやタブレットという新しいハードウェアを出さないと買い換えが促されませんでした。
タブレットの革新性というのは、実はこの辺りにあったと思います。性能を比較されるPCの機能がXP相当だったのではないかと言うことですね。買い換えの良否はさておき、買い換えないと世代交代は進まないことは現実として存在します。
サポート期限を明記して販売したとしても、買い手(調達担当)と決済する上司(社長)が無理解なら何も変わりません。人間は変化を嫌い、無用な出費と考える事柄を惜しみます。「新しいものがいいことは分かっているけれど金にならないなら意味がない、ソフトまで全部買い直せない」ということです。
本来サポート期限は、計画的な買い換えを促進するためのものでしたが、それでも買い換えを選択しない消費者が圧倒的でした。
買い換えをしないと本当にサポートを打ち切りますよ、という生け贄の羊がXPの現状です。サポートされないことに対する不利益が明確化します。「買い替えないと被害にあいますよ」ということですね。
XPのサポート自体を続けることは恐らく可能ですが、会社としてそれを続けることがサポート負担以上にPC産業を停滞させる元凶とマイクロソフトは考えているでしょう。XP以降最高と評価されたWin7投入でもXP離れは進まみませんでした。OSとなったタブレットの革新性を猿マネしたWin8の不評がマイクロソフトをさらに追い込みました。北風と太陽の寓話で言うところの、「太陽方式=自然な買い換えは」通用していないのが現状です。
問題は、産業を停滞させずに買い換えを促進する方法についてです。PC関連では、消費者と無関係に技術だけが進化することがあり得ません。それは製品として販売するスケールメリットが非常に大きいためです。XP問題は官公庁などの大規模ユーザーが台数の多いPCの買い換えだけならまだしも、運用してきたシステムの変更までできないという問題でもあります。これに対処するのは容易ではありません。官公庁は少なくともサポート期限を知った上で購入しています。(流石にそのはずです)「買い替えないと被害にあいますよ」というロジックは、官公庁が新システムに移行しても「税金泥棒」と非難されないことにつながるでしょうか?独自システムはおそらく難しいでしょうが、それ以外なら「仕方がない」と受け止められるのではないでしょうか。
今後はハードウェアの物理的破損による買い換えが静かに進行するでしょう。「こうなると分かっていたらうまくやれたのに」とは、人間だれしもが思うことです。我々はこの教訓を踏まえて、前に進むしかないと思っています。XPのサポートが切れても、金のない中小企業はXPを使い続けるでしょう。それでウイルス被害を出して客先に出入り禁止になって「なんとかしろ」と怒鳴っても、どうにもならなくなるだけです。損害が浅ければ買い替えをし、生き残れないところは倒産なり解散なりしていくのでしょうね。これまでもそういう時代に取り残される流れは存在しました。時の流れにより主役が交代するとはこういうことなのでしょう、きっと。
Re:家電製品はサポートが切れたら買い換えるものでは無い (スコア:2)
Re:XPを使い続けることは過失なのか? (スコア:1)
攻撃の踏み台にされることもあるのでそれだけとは言えない。
別途対策もしてないならネットにつなぐのやめてほしい。
外野がとやかく言う問題ではない (スコア:0)
成功か失敗かはMS自身が判断すればいい話。
外野はMS神対応とか、リンゴも見習えとかその程度にしておけ。
Re:外野がとやかく言う問題ではない (スコア:1)
外野が俺にもっと輝けと囁いている XP age12
Re:外野がとやかく言う問題ではない (スコア:1)
「お客様は神様です」について [minamiharuo.jp]
俗に言う“クレーマー”の恰好の言いわけ、言い分になってしまっているようです。元の意味とかけ離れた使われ方ですから私が言う段ではありませんけれど、大体クレーマーたるや、「お客様」と「様」を付けて呼んで貰えるような人たちではないと思います。サービスする側を 見下すような人たちには、様は付かないでしょう。
Re:情弱は (スコア:1)
シェアを考えれば、そうも言ってられない。規模が大きすぎる。
いっそサポート継続してアップグレードしながら販売すりゃいーのに。
Re:情弱は (スコア:1)
Vista、7、8、8.1とアップグレードしながら販売してます。
Re:IE×XP (スコア:1)
インターネット接続するユーザの浄化作戦などと口にすると後ろ指さされて叩かれる気がする。
でも人権や個人の尊厳を損なうことないように温和な発言でもこの場合結果は違わないとも思う。
相手が悪いのか、問題が悪いのか、指図する方が悪いのかよくわからない。