半強制的？　インストール以外選びにくいポップアップ画面

　マイクロソフトは、昨年7月29日のWindows 10提供開始に伴い、1年間の期間限定でWindows 7や8.1からの無償アップデートを行っている。その対象となる全世界のユーザーについて、OSのポップアップ画面等で繰り返しアップデートを促すメッセージを表示させてきたが、問題となったのはその更新メッセージだ。

　当初は無償アップデートができることをアナウンスするだけで、インストールしない選択は容易だった。キャンペーンが進むにつれて、インストールしない選択がわかりにくくなるか、選択しにくくなっていった。「今すぐインストール」以外の選択が「何月何日の何時にインストールする」になっているといった具合だ。

　極め付けは、予約更新をしないようにするため、ダイアログボックスを閉じる右上の「×印ボタン」をクリックするとWindows 10のアップデートが始まってしまう設定だ。平均的なダイアログボックスのUI設計とはいえず、多くのユーザーが更新を回避しようとしたつもりで、更新をスタート（あるいは更新予約を確定）させてしまった。この処置には、Windows 10のアップデートを容認、推奨していた専門家からも疑問の声が上がった。

「Windows 10」へとアップデートさせるワケ

　マイクロソフトはなぜ、ここまで半強制的なアップデートを促しているのだろうか。同社広報の担当者に電話で聞いたところ、一番の目的は「Windows環境のセキュリティを底上げすること」にあるという。

　近年増加している個人や組織を狙った標的型攻撃に利用されるマルウェアは、Windows 7/8ブラウザのセキュリティ機能では防ぎきれないものも多い。例えば、2011年から増えているメモリ確保・解放に関する脆弱性を利用した「Use After Free攻撃」に関して、Windows 7/8は安全な対策がなされたOSではない。

　Windows 7のUACやブラックリストによるサイト評価ブロックでは、近年の標的型攻撃で攻撃サイトに誘導されマルウェアをダウンロードして実行してしまう被害を防ぎ切れない。そして、企業のクライアントOSの多くはWindows 7という現状もあり、最新OSでは効果がないはずのマルウェアがいまだに大量に出回っており、被害を広げている。

　Windows 10では、不正なコード実行を監視する機能（Use After Free対策には制御フローガードという機能を実装）、署名のないドライバの実行監視などの機能がサポートされている。また、ブラウザの機能では、不正アプリの実行時監視機能、ドライブバイダウンロード対策のための汚染サイト評価機能（汚染サイトはURL評価では検出できない。10月の更新で追加予定）なども利用できる。

目的は「Windows 7」をできるかぎり減らすこと

　しかし、企業向けPCにおいては、最新版ではないOSが一定のシェアを占めている現状もある。特に問題なのは、すでに延長サポート期間に入り、2020年にはセキュリティアップデートもなくなるWindows 7だ。

　Windows 7には、10（一部は8.1から）に実装されている新しい保護機能の多くがない。マイクロソフトがいう「底上げ」とは、2020年までに危険なWindows 7をできるかぎり減らすことに他ならない。1年という期限付きだが無償アップデート（XPからVistaへのキャンペーンでは無償提供はなかった）を導入しても最新OSへシフトさせたい同社の強い思いがうかがえる。

　日々進化しているサイバー攻撃からPCを守るために、新しい攻撃への対策が期待できるWindows 10やMicrosoft Edgeといった最新版へのアップデートが必要になるというわけだ。なお、こうした情報は、マイクロソフトの依頼を受けてFFRIが作成、6月10日に公開した技術文書「Windows 10 セキュリティリスク抑制効果調査報告 Phase1」で詳しく解説されている。

【次ページ】延長サポートのセキュリティアップデートではダメ？