パスワードを忘れた? アカウント作成
13287186 story
Windows

Windowsのセキュリティ更新プログラム、重要な公共サービスなどで多数使われている限り提供し続ける必要がある? 157

ストーリー by headless
更新 部門より
WannaCryptの問題を受け、英政府通信本部元本部長のデビッド・オマンド氏がサポート期間終了後のシステムであってもMicrosoftのようなベンダーはセキュリティに責任を持つべきだと主張する一方、米国では上院議員2名が政府機関の発見した脆弱性の開示などに関する法案を提出している(The Registerの記事[1][2]米上院国土安全保障・政府問題委員会のメディアリリース法案: PDF)。

オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。

米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。

開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。

なお、オマンド氏と同様にWannaCryptの問題をWindows XPと結び付けて考える人も多いようだが、WannaCryptに感染したPCの大半はWindows 7だったようだ。Kaspersky Labによれば、感染PCの98%以上がWindows 7であり、約1.5%がWindows Server 2008 R2、Windows XPはわずかだったという。Microsoftが影響を受けないとしていたWindows 10も0.03%を占めているが、これは脆弱性を狙った攻撃ではなく、フィッシングメールなどから直接感染したものとみられる。また、Windows XP/Server 2003はランサムウェア自体には感染しても、エクスプロイトは正常に動作せずリモートから感染したり、他のPCを感染させたりすることはないという話も出ている。

ちなみに、The Registerの記事[1]では重要な公共サービスで使われているPCのセキュリティ確保をMicrosoftに義務付けるべきかどうかという読者投票も行われており、反対が賛成の倍以上となっている。また、パッチの提供期間に関する投票では10年が多数を占めており、20年が続いている。スラドの皆さんのご意見はいかがだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 逆に (スコア:5, 興味深い)

    by yhachisu (47108) on 2017年05月21日 19時21分 (#3214607)

    政府機関にはサポート切れのOSを使うことを禁じる法律を作るべき。

    • by Anonymous Coward on 2017年05月22日 8時14分 (#3214748)

      「導入時点ではサポート切れじゃなかったんだよ。
      入れ替える予算がなかっただけで。」
      というのもよくある話じゃね。

      もっとヒドイと
      「中がスパゲッティコードで誰も触れない。かといって作り直す予算も時間もない。」
      という糞コードに先日も関わってきた所です。
      どうしてこんなに悪化するまで放置していたんだ。もはや何やっても手遅れ.

      親コメント
  • 本件の場合はどうだか知りませんが、そもそも要件定義の段階において、システムの耐用年数をちゃんと明記しないと駄目なケースではないでしょうか。

    耐用年数がちゃんと書かれていないのであれば、この場合行政側がセキュリティ上問題ありと判断するなら速やかにシステムのリプレースを発注すべきで、耐用年数が書かれており、その範囲内であればセキュリティ確保手段を受注側が提供すべき、って話でしょう。

    建造物の発注の場合はどうしているんでしょうかね?同じ問題なんかとっくに発生していそうですが。普通に考えると明記していて当然かと思われます。

    --
    ほえほえ
    • by Anonymous Coward on 2017年05月21日 21時54分 (#3214648)

      該当事象はその「べき」「当然」がすべて無視されて発生したわけで。
      それを責任・義務と紐付ける契約を行わなかったことこそが問題であり、不文律の瑕疵担保はどの程度の期間なされるべきか、はたまたその義務があるのか。
      国内法だとPL法範囲外だし、現状製造者の善意かホワイトハッカー(笑)に期待するかしかないわけで。

      これで製造者責任が永久的になされることになるのなら、OS屋はヤリ損。
      無料で最新OSへのアップグレードを提供するも非難轟々。
      自分でOSを開発したミュンヘンは失敗してWindowsへ逆戻り。
      これ、どうするのさ?

      つまるところ、MSOfficeが動くChromeBookでも期待するしかないと思う。

      親コメント
      • by Anonymous Coward

        それを責任・義務と紐付ける契約を行わなかったことこそが問題であり、不文律の瑕疵担保はどの程度の期間なされるべきか、はたまたその義務があるのか。

        利用者の義務とソフトの提供者の義務は分けて考えるべきですよ。そもそもソフトウェアへのセキュリティパッチ適用を法で義務付けつつ特定の市場を独占するソフトウェア企業にはソフトウェアの最低サポート期間を法律で強制しても良いのだから。
        まあ現状だと法律がそうなってないんで契約に反しない限り何やっても許される。加えて大手の製品は契約上提供側が一方的にサポートないし製品の提供を打ち切っても良いので何やっても許される。実際そういうベンダはある。

        自分でOSを開発したミュンヘンは失敗してWindowsへ逆戻り。

        費用を削減したいとか言いながらカスタマイズしちゃう時点で担当者はなにもわかってない。カノニ

    • by Anonymous Coward

      というか、民間企業間の契約ですら瑕疵担保期間と保守期間(=耐用年数)って必ず聞かれませんか?

      Windows XPについては、ずっと昔から終了日がアナウンスされ続けていて、
      かつあちこちでさんざん騒がれていたわけですから、
      担当者や納入業者が「知らなかった」では済まされないでしょう。

    • by Anonymous Coward

      発注時の耐用年数は最低保障であって、「それ以上動いてしまうことを否定する」わけではないからなぁ。

      それこそ建物の例なんかがわかりやすいけど「耐用年数を過ぎたら即座に壊して建て替える」なんてのは普通しないでしょ。
      問題ないかどうかの検査だけして、問題がある箇所は補修するだろうけど。

      そう考えると官公庁のシステムに必要なのは「定期的にシステムの仕様や状況を監査して必要なら改修を加える(OSやミドル等のバージョンアップ含む)ことを法制化する」だよね。いや、官公庁に限らずそれ以外の企業でもやるべきなんだろうけど。
      3年に1回とかそれくらいのペースで監査して、次の点検までにサポート期限が切れるソフト等があればリプレイスを指示する、が仕組みとしてきちんと機能してればこんな問題は起きないだろうから。
      (それで「予算がなくてできませんでした」になりかねないのが日本の役所なので別途対策は必要だろうが)

  • by Akami (4183) on 2017年05月22日 9時37分 (#3214779)

    何らかの公共コンソーシアムがみんなでお金を取りまとめて、古いパッチを作りつづけるための資金をMSに提供し、パッチはコンソーシアムのメンバーで共有する(場合によっては公開する)、という仕組みができませんかねぇ?

    で、MSはその仕組みに対して本気の見積もりを出すくらいの義務は負ってもいいのでは、と。

  • by Anonymous Coward on 2017年05月21日 19時22分 (#3214608)

    政治家は引退してもその時の支援者が生きてる間は責任を持つべきでは?

    #海外の事情は知らんけど

    • by Anonymous Coward

      民主主義国家であれば、その政治家に投票した人も責任を持たねばならない

      • Re:ならば (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2017年05月22日 11時14分 (#3214811)

        実質自分の現在の生活や未来の生活にツケが回っているので責任をとっていると思う。
        唯一国民だけが無限責任を負っているともいえるかもしれない。

        親コメント
      • by Anonymous Coward on 2017年05月21日 20時16分 (#3214622)

        責任の定義をはっきりしないと

        日本国憲法第15条4「すべて選挙における投票の秘密は、これを侵してはならない。選挙人は、その選択に関し公的にも私的にも責任を問はれない。」

        親コメント
    • by Anonymous Coward

      でもその政治家の子供が票を受け継いで失敗すると叩き出すんでしょ

  • by Anonymous Coward on 2017年05月21日 20時30分 (#3214626)

    雇用すれば良かろう。

  • by Anonymous Coward on 2017年05月21日 20時34分 (#3214627)

    自動車や家電製品は製品提供終了後長時間たってもリコールしますね。それと同じでしょう。言いたいのはそれだけ。それだけではないな。うちのような零細も対象になると困るな。

    • by Anonymous Coward on 2017年05月22日 9時12分 (#3214767)

      自動車なんかは契約で「最低提供保証期間」みたいのを決められるよ。
      いつまでもラインが残っているわけでもないLSIでも同じで、だから当該チップはラインを閉じる前に作り置きする。
      ランニングチェンジ以外のマスク変更は認められないからね。
      元々保証環境が厳しい事もあって、車載の仕事は受けないメーカーもあるくらいだ。

      親コメント
  • by Anonymous Coward on 2017年05月21日 20時39分 (#3214628)

    「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ
    http://www.itmedia.co.jp/news/articles/1705/20/news034.html [itmedia.co.jp]
    だったらしいので、古いOSではなくアップデートの徹底の方が有効では?

    • そうですね。
      今回の問題に限らず各所で言ってきましたが「セキュリティは集団免疫の性格を持ちます」に尽きます。
      貴方がいいから良いではなく、パッチや新たに実装されたセキュリティ機能を含んだアップデートを適用しない事で社会に迷惑をかけている事になるのですよね。

      すぐには難しいですが、長期的には全てのソフトウェアに対して"必要があれば月1回以上のパッチ提供の義務化"と"パッチ非適用ユーザへの切るスイッチ埋め込みの義務化"あたりが妥当ではないでしょうか。
      またIoTというこのご時世を考えるとキルスイッチと同時に、少なくとも「少なくとも発売からn年以内に発見された脆弱性にはアップグレードが保証する、または保証されているソフトウェアを搭載しなければならない。」みたいな法整備をしないと顧客を守らないメーカーが出てきそうですけれどね。
      #某G社の某AというOSがWebView脆弱性で過半数のアクティブ端末を切り捨てたみたいに…

      一方無期限のサポート義務化は強く反対ですね。
      あまりに古いとメーカーでさえパッチ開発が可能な環境があるかどうかさえ怪しくなってきますし。
      (例えば今でも工場で元気しているPC-98のWindows 3.1とか)
      親コメント
    • >だったらしいので、古いOSではなくアップデートの徹底の方が有効では?

      アップデートが徹底されていない要因分析はどんな感じなんだろう。

      ・回線速度が遅い
      ・リブートが必要な場合実行しにくい
      ・アップデーターがでかくて作業Disk容量が不足している
      ・そもそも全く更新されない or しない。

      親コメント
    • by Anonymous Coward on 2017年05月22日 22時36分 (#3215254)

      Windows7はWindowsUpdateの不具合で、起動後数時間たってもUpdateの検索が終了しない問題がある時期がありました。
      これが短時間しか使用しないPCで発生すると、Updateされないままシャットダウンされてしまい、永遠にUpdateできない状態になります。この間HDDアクセスも多いしCPU負荷も高いのですが、めったにPC使わないような人だと、ちょっと重いなってぐらいでそのまま気にしないようです。

      自分の親のPCがまさにその状態で、手動でパッチあてるまで2年ほどUpdateの検索を繰り返し頑張ってたようです。

      親コメント
    • by Anonymous Coward

      Windows10の強制アップデートの方針は正しい

      • by Anonymous Coward on 2017年05月21日 20時50分 (#3214631)

        セキュティアップデートだけなら強制更新でもいいんだけどね。
        ただし致命的なトラブルを起こさないという前提をつけての話だが。

        機能変更までちゃんぽんにしてる時点で欠片も同意できない。

        親コメント
  • by Anonymous Coward on 2017年05月21日 20時54分 (#3214633)

    強制できたとしたら、全体的に値上がりして、使用条件に書かれた期限を守らない奴らに巻き込まれたまともな人らが損するだけじゃないですか。

    • by Anonymous Coward

      無限にサポートを要求したら、使用期限になったら強制終了する仕様になるだけだろうな。

      • by Anonymous Coward

        もう無限サポートになりましたよ。waas

  • by Anonymous Coward on 2017年05月21日 20時56分 (#3214634)

    これまでWindowsで業界の足を引っ張っていたこともあって
    一度痛い目にあって完全は排除くらいのことがあって然りでしょ。
    その方が結果的に前に進みますよ。

    • by Anonymous Coward

      windowsが長年使われていたのは10年という長いサポート期間があったからでしょう
      ちょっとは他所のOSのサポートを見てみたらいい

      • by Anonymous Coward

        つい先日そんなやり取りをしたばかりだった。
        「Windowsなんてしょっちゅう乗り換え強要するんだからLinuxにするべきだ!」
        「どのディストリにすればWindowsより長くいけるかな」
        「Linux!」
        長さで対抗しようとしたらRHELなのかな?

  • by Anonymous Coward on 2017年05月21日 22時14分 (#3214655)

    サポート無期限義務ならOSSなんて使えなくなるよなあ。
    組み込み機器に使われているLinux kernel ver.2.2系とか責任とってサポートしろって言われたって誰がサポートするんだい?
    ソース公開しているからご自由にって言われても、自分でサポートできるなんてのは少数だろうしな。

  • by Anonymous Coward on 2017年05月21日 23時31分 (#3214680)

    これで終わりだと思うけど。
    なんで一般向けのを重要な用途に使うの。
    ミッションクリティカルな用途には使うなとEULAには書かれてるけど、公共サービスにも使うなって加えないといけなくなりそう。

    • by Anonymous Coward

      それよりも、まず

       そんなに大事なものをインターネットに繋ぐな

      だと思う。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...