一部のWindows 7ユーザーにセキュリティアップデートを1年間無料提供へ

4カ月後にはWidnows 7はその寿命を終え、セキュリティーアップデートが提供されなくなる。

これは、10年前のオペレーティングシステムを運用している一部の企業にとって、問題となるだろう。2020年の1月14日より、Windows 7にはセキュリティアップデートが提供されなくなり、企業はマルウェアの脅威にさらされることになる。

最新のデータによると、一般消費者および企業向けデスクトップコンピューターの約37%が依然としてWindows 7を搭載しており、一方でWindows 10はわずか41%だ。

ただし、現在Windows 10のサブスクリプションを保有している企業の顧客には、いくらかの猶予が与えられる。

Microsoftのドキュメントによれば、「Windows E5」「Microsoft365E5」 「Government E5」のサブスクリプションを保有するトップティアの顧客には、1年間追加料金なしでセキュリティアップデートが提供されるという。その後は企業の各デバイスに対し、2年目のアップデートは50ドル(約5300円)、3年目のアップデートは100ドル(約1万1000円)が課金される。

文章によれば、サブスクリプションは年末まで有効にされていなければならず、またセキュリティアップデートを継続して受信するには、サブスクリプションが有効であり続ける必要がある。

他のWindowsサブスクリプションプランを利用しているその他のすべてのユーザーには、MicrosoftはWindows 7のサポートが終了する1月から課金を開始し、2023年1月までこれが続くことになる。

Microsoftは3月、重要かつ必須のセキュリティアップデートの提供をまもなく停止すると、ユーザーに警告し始めた。同社はユーザーにWindows 10にアップグレードするか、最後の手段として拡張セキュリティアップデートを入手するように推奨している。

セキュリティアップデートの拡張に関するこのニュースは、Computerworldが最初に報じた

[原文]

(翻訳:塚本直樹 Twitter

米政府がBlueKeep脆弱性を利用したハッキングを実証、Windows 7以前へのパッチ導入待ったなし

米国土安全保障省のサイバーセキュティー部門であるCISAは、BlueKeep脆弱性を利用したハッキングの実験を行い、対象となるデバイスでリモートコード実行ができることを確認した。BlueKeepは旧版WindowsのRemote Desktop Protocol(RDP)のバグを利用した極めて危険な脆弱性だ。

現在、民間機関での研究ではBlueKeepを利用してDoS攻撃ができることが実証されている。つまり狙ったコンピュータをクラッシュさせてしまうわけだ。しかしBlueKeepはそれよりはるかに悪質なリモートコード実行に利用できることが確実だった。そうなれば2017年に世界を大混乱に陥れたWannaCryランサムウェアの再来となる。

CISA(Cybersecurity and Infrastructure Security Agency)は6月17日に発した警告で、BlueKeepを利用してWindows 2000を搭載したコンピュータ上のコードを遠隔で実行できることを確認した。

Windows 2000はMicrosoft(マイクロソフト)が発表した脆弱性対策には含まれていないが、CISAの広報担当者によれば「我々は外部の関係者と協力してこの脆弱性を調査している」ということだ。TechCrunchはマイクロソフトにコメントを求めている。

リモートコード実行が可能なマルウェアはまだ現実には使われていない。しかしCISAがアラートを出した以上、同じ効果をもつマルウェアをハッカーが近く作り出せることが確実だ。

マイクロソフトと米政府機関は先月末からBlueKeep脆弱性へのパッチ適用を強く勧告してきた。

BlueKeep(CVE-2019-0708)はWindows 7およびそれ以前のWindowsコンピュータのリモートデスクトップサービスのクリティカル評価のバグで、パソコンだけでなくサーバーにも影響する。ユーザー認証以前に実行可能なので攻撃者はログインの必要がない。攻撃が成功すればデータを盗み出すだけでなく、システム管理者の特権を得ることも可能だ。またワーム化できるので、1台が乗っ取られば同一のネットワークに接続しているすべてのコンピュータに伝染する。

Microsoftは先月末、サポート終了のOSに対してパッチを発行するという異例の措置を取った。しかし100万台ものコンピュータが無防備な状態におかれているという。英国のセキュリティ専門家であるKevin Beaumont氏のツイートによれば 「マルウェアがひとたび組織のファイアウォール内のパソコンに入り込むことに成功すれば被害規模は桁違いに拡大する」という。

NSAは秘密主義で知られるこの組織としては異例の警告を公表し、「脅威が著しく増大している」と述べ、ユーザーにパッチの適用を強く勧告していた。

万一パッチしていないなら今こそすべきだ。

【Japan編集部追記】CISAによれば、影響を受けるシステムは次のとおり。PC向けOSは、Windows 2000、Windows、Vista、Windows XP、Windows 7。サーバー向けOSは、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2。

原文へ

滑川海彦@Facebook

Windows 7、有償で2023年までセキュリティパッチ提供する延長サポート。ただし年ごとに増額

eng-logo-2015米Microsoftが、2020年1月14日で終了予定だったWindows 7サポート期間に2023年までの延長措置を追加すると発表しました。年ごとに増額する有償サポート形式ではあるものの、修正パッチの提供が3年間延長されることで、企業ユーザーはOS置き換えのための猶予期間を確保できます。

Windows 7 Extended Security Updates (ESU)と呼ばれる新たな延長サポートの対象となるのは、ボリュームライセンスによってWindows 7 EnterpriseもしくはWindows 7 Professionalを使用している顧客。サポートはデバイスごと課金され、その価格は毎年上がっていくしくみになっています。

今回の措置には、MicrosoftがWindows 10のセールス向上をはかりたい意図もあると思われるものの、サポート期間を過ぎても使い続けられたあげく、身代金要求マルウェア(ランサムウェア)WannaCryによる被害が続発し緊急パッチをリリースせざるを得なくなったWindows XPと同じ轍を踏まないための策とも考えられます。

企業のIT管理者の立場から見ても、最新のセキュリティパッチが提供される最新のOSにアップグレードするほうが運用管理が楽になるというもの。「段階的にライセンス価格が上がるので、そのコストで最新OSへのアップグレードをするほうが良い」と説明すれば、予算の確保もしやすいかもしれません。

ただ、セキュリティリスクというのは社内で問題が発生しでもしなければ、なかなか認知してもらえないのもまた事実。ひきつづきIT管理者に予算ネゴシエーションのスキルが求められるところは変わりません。

Engadget 日本版からの転載。

Windows 9の画面(スタートメニューなど)のビデオがリークし始めた

Windows 9のテクニカルプレビューのリリースは2週間後だと言われているが、そのビデオがインターネット上に現れ始めた。ドイツのWinFutureが、数日前から、雑多なスクリーンショットやビデオを、われわれ野次馬のために、公開し始めたのだ。

ビデオクリップの方は、複数のデスクトップの使い方、スタートメニューの復帰、などを取り上げている。読者の便宜のために、この記事にもそれらを埋め込んでおこう。

このビデオの見どころは、Windows 8におけるタブレット指向の取り組みと、人気の高いWindows 7のデスクトップ機能をうまく融合して、前者を‘矯正’しているところにある。

スタートメニューを見せているビデオについて、Microsoftはコメントを拒否したが、このビデオが作り物だ、という情報もない。正しいことはまだわからないが、Windows 9、Microsoft社内の呼び名Thresholdが、一般市場への公式リリースの前に、人びとの目の前にちらちらし始めたことは事実だろう。

下のビデオはプレビュー以前に撮られたものだから、まだ大きく変わる部分はあるだろう。ユーザインタフェイスも、機能も、これからさらに足したり引いたりが行われるはずだ。

でも、まあ、とりあえず見てみよう:

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Microsoft、あと365日でサポート終了とXPユーザーにクギを刺す

もしまだWindows XPを使っているなら、あるいは使っている人を知っているなら、Microsoftは、サポート終了まであと365日しかないことを思い出してほしいと言っている。XPは2001年10月25日にニューヨークで登場したWindows XP SP3およびOffice 2003共、2014年4月8日にはサポート対象外となり、それ以降XPユーザーは、Microsoftからセキュリティー・アップデート、緊急修正、その他サポート(有償無償を問わず)を受けられなくなる。全世界のデスクトップおよびノートパソコンの40%弱が今でもXPを使っている、とNet ApplicationsのNetMarketShareが報じている。

すでにMicrosoftは、Windows XPの主たるサポートを2009年4月に打ち切っているが、企業ユーザーの拡張サポートおよび全ユーザーに対するセキュリティーアップデートは続けている。

2014年4月以降、XPの利用は「移行しないことを選択した利用者の自己責任」であるとMicrosoftは書いており、XPを使い続けれる時間が長くなるほど移行コストは高くなる可能性が強い。

今日の発表でMicrosoftは、XPを使い続ける落伍者たちに対して、「検討提案から移行完了まで」に平均的企業で18~32ヵ月を要すると念を押した。現時点でWindows 7または8への移行を提案することは簡単(Windows 8の方が難しいとしても)に思えるかもしれないが、現実には相当数の企業が新OSへの移行を決断していない。もちろん、XPからWindows 7への直接アップグレードパスがないことも移行を難しくしており、技術サポート要員のいない中小企業ではなおさらだ。

もちろんMicrosoftにとって、Windows XPの終了は潜在顧客にWindows 8の「利点」を再考させるチャンスでもある。同社はWindows 8について「近代的企業のための近代的OSであり、Windows 7のスピード、信頼性、およびセキュリティーといった中核機能に基づき、新しい世代のハードウェアオプションのためにデザインされた最新プラットフォームを作り上げた」と言っている。

しかしMicrosoftは、企業によって「全社一斉にWindows 8に移行するのが最善である場合と、まずWindows 7に移行する方がよい場合とがある」ことも認めている。しかし多くの場合、モバイルユーザーにはWindows 8タブレットといった具合に、Windows 8とWindows 7を並行して展開していくシナリオが主流になるだろう。

Windows 8への移行を促進するためにMicrosoftは、2013年6月30日までWindows 8 ProおよびOffice Standard 2013の15%割引キャンペーンを実施している。

[原文へ]

(翻訳:Nob Takahashi)


タッチが面倒で8にアップしないWin7ユーザ向けにIE10がリリース, CMもタッチを強調

all circles playing

人を長く待たせたMicrosoftが今日(米国時間2/26)やっと、Internet Explorer 10を全世界のWindows 7ユーザに提供する、と発表した。これまではWindows 8だけだったが、昨年11月にはWindows 7用IE10のプレビューバージョンがローンチした。今日リリースされるのは、公式バージョンである。なお、全世界で7億人以上いるIE9のユーザと、前記プレビューバージョンのユーザに対しては、自動アップデートが始まる。

プレビューバージョンのユーザには自動アップデートがすぐに始まり、そのほかのWin7ユーザには今後数週間〜数か月の内に通知が来る。Microsoftは、アップグレードに伴う問題点の検出と修正をしながら、徐々にIE10の世界展開を図るようだ。

IE_60_US_MASTER (00832)

MicrosoftでInternet ExplorerのゼネラルマネージャをやっているRyan Gavinが先週語ったところによると、Internet Explorerのユーザが10へのアップグレードをためらったり、嫌がったりする理由はまったく見あたらない。Windows 8に先行リリースしたので、テスト履歴もこれまでのIEで最高最良である、と。

Microsoftによると、IE10はIE9の20%以上速く、しかもそれはベンチマークではなく実用テストの結果である。Gavinによると、IE10は”Do Not Track”(トラッキング拒否)がデフォルトでonである。またプライバシーとセキュリティの機能もIE9より充実している。

IE10のWindows 7バージョンはWindows 8バージョンとほとんど同じであり、同じデザイン、同じJavaScript、同じレイアウトエンジンを使用し、ハードウェアアクセラレーションによるSVGやHTML4構文の実装も、Windows 8の場合と同じだ。

デベロッパ向けには、IE10ではIE9に比べ、“現代的なWebスタンダードのサポートが60%増えた”。たとえば、CSS3のTransitionとAnimations、レスポンシブなページレイアウトのサポートを改良(CSS3のGgrid、Positioned Floatなど)、HTML5のForm、WebSocket、HTML5のドラッグ&ドロップ、タッチ方式のWebアプリケーションのためのポインタイベント、など。

IE10のコマーシャルはタッチを強調

MicrosoftはIE10に関してとくに、タッチ対応を強調している。Windows 7が載ってる製品はタッチ画面のが少ないにもかかわらず、同社はテレビコマーシャルでもタッチを主役にしている。またMicrosoftが今日立ち上げたExploreTouch.ieは、広告と、キャンペーンに起用されたBlake Lewisの曲のあるHTML5によるサイトだ。このサイトを作ったのはFantasy Interactive、Clarity ConsultingとIEのチームが賛助した。例によってMicrosoftは、このサイトのメイキングやコードサンプルなど、楽屋裏情報も見せている。

以下が、そのテレビコマーシャルだ:


[原文へ]
(翻訳:iwatani(a.k.a. hiwa))