特別企画

4人の識者が語る、いますぐにでもWindows 10に乗り換えるべき理由

~Windows 7サポート終了まであと2年半

清水氏の所見~古いOSに忍び寄るランサムウェアの脅威

 Microsoftは、2020年1月14日に終了するWindows 7の延長サポート終了(EOS)について、異例とも言えるほど早い段階(2017年)からのアナウンスを開始した。2017年4月11日のWindows Vista延長サポート終了はずいぶんと静かだったが、その前のWindows XPサポート終了(2014年4月9日)の混乱を考慮して、早め早めに手を打った格好となる。

 約3年前からの警告は、それだけOSの移行の準備と実施に時間が必要だったXP EOSの教訓に基づいているが、それ以上に深刻な問題が目の前に存在することも少なからず影響している。ランサムウェアに代表される悪質なセキュリティ被害の拡大だ。

 現状、マルウェアの多くは、OSに潜む脆弱性を悪用するケースが多い。ファイル共有などに使うSMBv1の脆弱性を悪用したWannaCryなどはその代表だ。

 このような脆弱性を悪用した攻撃から身を守るには、Windows Updateによるセキュリティ更新プログラムを適用することが重要だが、それと同時に、そもそも脆弱性を悪用されにくい仕組み備えたOSを利用することも重要だ。

 たとえば、Windows 10は、先のWannaCryの騒動のさいも大きな被害を受けずに済んでいる。これは2017年4月に提供が開始されたCreators Updateに、該当する脆弱性(MS17-010)を修正するためのパッチが適用済みだったことも大きいが、そもそもマルウェアの活動を防止する数々のセキュリティ機能がOSに組み込まれていたことも理由の1つと言える。

 主なものを挙げると以下のようになる。

Windows 10に標準搭載されているWindows Defender

【侵入を防止するしくみ】

セキュリティ対策機能を標準で搭載

 危険なWebサイトへのアクセスを未然に防止する「Smart Screen」や統合マルウェア対策ソフトの「Windows Defender」を標準搭載(Windows 7時代はアドウェア、スパイウェアの検出のみ対応)。

【活動を防止するしくみ】

既知の脆弱性を標準で無効化

 Flashやブラウザのプラグインなどのモジュール、SMBv1プロトコル、SHA-1証明書(危険性が指摘されているハッシュアルゴリズム)など、脆弱性につながりやすいテクノロジを標準で無効化。

マルウェアの活動を防止するしくみを搭載

(1)UEFIセキュアブートの採用

 OS起動前に活動を開始するマルウェアやルートキットなどの実行を防止可能(Windows 7でも対応していたが市販のPCで標準採用されるケースが少なかった)。Windows Defenderのオフラインスキャンでの検出も可能。

(2)脆弱性緩和策を搭載

 DEP(データ実行防止)やASLR(Address Space Layout Randomization:アドレス空間に配置されるプログラムをランダムに配置することで攻撃者に悪用されないようにする)技術は、Windows 7以前では互換性の問題からOSの一部のみで有効だったが、Windows 10(8以降)ではシステム全体で利用可能になり、64bitアドレス空間にも対応。

 さらに、制御フローガード(CFG)により、コードの流れと連続性を監視し、ASLRを回避するような手法を防止。正常な関数のみを呼び出し可能にし、不正なコードの実行を防止できる(アプリ側の対応も必要)。

 要するに、従来の対策を拡張し、さらにそれを回避するための手段に対抗できるようにしたことになる。なお、脆弱性緩和機能は、従来OSでもEMET(2018年サポート終了予定)をインストールすることで利用可能だったが、Windows 10ではOS標準機能で同様の機能をサポートする。

(3)Virtualized Based Security

 マルウェアはもちろん、OSそのものですらアクセスできない独立したセキュリティ領域を確保することで、万が一侵入を許してもパスワードなどの資格情報を保護したり(Credential Guard)、許可されたコードのみを実行可能とし改ざんされた不正なコードの実行を防止したりできる(Device Guard)。ただし、Enterprise向けの機能となるうえ、仮想化やTPMなどのハードウェア対応も必要。

 つまり、Windows 10は、侵入を防ぐだけでなく、万が一、侵入された場合でも悪意のあるコードの実行を難しくさせることで、その被害を緩和する工夫がなされていることになる。

世界的に猛威を振るったランサムウェアの「WannaCry」

 冒頭で触れたランサムウェアのように、昨今の攻撃は、金銭目的のばらまき型が多く、数を多く打って、引っかかった相手をターゲットにするケースが多い。このため、わざわざWindows 10の緩和策などを回避するための仕組みをマルウェアに仕込むよりも、ひっかかりやすい弱いOSを狙ってスピーディに攻撃するほうが効率的と考える攻撃者が多い。

 このような状況を考えれば、ユーザーとして、あと3年も、わざわざ狙われる側に居続ける必要はないだろう。

 このほか、Windows 10では、Windows Helloと呼ばれる生体認証機能にも対応しており、サインインや一部の決済で、煩雑なパスワードの代わりに指紋や顔認証を利用することも可能となっている。

 マルウェアによる直接的な被害だけでなく、大手企業からの大規模な情報漏洩が話題になることも少なくない昨今、PCごと、サイトごとに、パスワードを使い分けることが要求されているが、その使い分けには限界がある。しかし、Windows 10を利用すれば、サインインなどの一部で煩雑なパスワードの管理から解放されることになる。これはWindows 10の大きなメリットと言えるだろう。

 もちろん、前述したセキュアブートや、ここで述べた生体認証機能を利用するには、UEFI対応のPCやWindows Hello対応のカメラや指紋リーダーが必要となる。これらの点を考えると、OSのみのアップデートよりも、むしろハードウェアを含めたPCそのもの移行を検討するほうが効率的とも言える。

 最新のハードウェアを搭載したPCは、起動や動作が高速なうえ、消費電力なども少ないため、運用後の生産性向上やコスト削減などにも寄与することが考えられる。

 Windows 10登場からすでに2年が経過し、ドライバやソフトウェアに関する互換性の問題もほぼなくなりつつある。Windows 7のEOSだけにとらわれず、現段階でのWindows 10の移行を考えるのは、実は決して早すぎるものではないし、無駄でもない。コストと時間が許すのであれば、本格的なPCの入れ替えを検討すべきだろう。