OSプラットフォーム
移行が停滞しパッチ提供期限が迫る中、6台に1台がいまだ旧OSを稼働
Windows 11への移行ができない、あるいはしようとしない一定数のWindows 10デバイスが存在し続けています。サポートの選択肢が尽きるにつれ、企業にとってのセキュリティ問題は膨らむ一方です。
資産追跡サービスのLansweeperによると、同社が監視しているWindowsデバイスのうち16.9パーセント、つまり「おおよそ6台に1台」がいまだWindows 10を稼働させているといいます。1年前には、同社のデータセットに含まれる端末の約半数をこのOSが占めており、Microsoftが標準サポートを終了した時点では40パーセント台前半から半ばまで下がっていました。
その後も減少は続き、6月には18.6パーセントまで落ち込みましたが、Lansweeperによれば移行のペースは今や這うように遅くなっているとのことです。
これが問題となるのは、拡張セキュリティ更新プログラム(ESU)に登録済みの環境でさえ、いずれは脆弱性にさらされてしまうからです。Microsoftはこのプログラムを通じてセキュリティ上の不具合を修正すると約束していますが、それにも期限があります。コンシューマー向けデバイスは2027年10月12日までセキュリティ更新を受け取ることができ、対価を支払う意思のある法人顧客であれば2028年10月10日までカバー期間を延長できます。それ以降は修正の提供が打ち切られます。
中小企業(SMB)は特に危険にさらされています。Lansweeperの試算では、SMB向け端末の21.4パーセントがいまだWindows 10を稼働させており、コストが旧OSを使い続ける原因となっているのが実情です。業種によってはこの傾向がさらに顕著で、医療・製薬分野のシステムでは23パーセントがWindows 10を使い続けており、消費者向けおよび小売業界の端末でも22.7パーセントに達しています。
Lansweeperのデータによれば、「Windows 10デバイス1台あたり平均1,903件のアクティブなCVEを抱えているのに対し、Windows 11では652件にとどまる。つまり2.9倍の差がある」とのことです。
同社のプリンシパル・テクニカル・エバンジェリストであるEsben Dochy氏は本誌The Registerに対し、「このWindows 10の平均値には、ESUパッチが適用済みのデバイスも含まれている」と語りました。
Lansweeperによれば、問題の一因は「パッチ差分解析(パッチディフィング)」にあります。これはWindows 11向けの修正をリバースエンジニアリングすることで、Windows 10側の欠陥を突き止める手法です。「サポート対象のOSが、事実上サポート対象外のOSへの攻撃の地図を攻撃者に手渡してしまっている」とLansweeperは指摘しています。
Lansweeperの数字によると、Windows 10資産のうちESUパッチが適用されているのは14パーセントにとどまります。
「残存しているWindows 10環境のかなりの部分は、単なる怠慢によって未パッチのまま放置されているわけではないと思う」とDochy氏は述べています。「ベンダー依存、認証上のギャップ、コスト、あるいは容認されたリスクによって、その場に留め置かれているのだ。認証済み機器はその好例だ。多くの医療機器や産業システムでは、OSがベンダー認証と直接結びついており、場合によってはその機器やソフトウェアのWindows 11認証版がまだ存在しないこともある。同じことは小売業にも当てはまり、コンプライアンスや保証上の理由から、デバイスが特定のOSバージョンにベンダーロックされていることが多い。
この種のハードウェアの多くは、OSの変更を含む機器の保守についてベンダーが契約上の責任を負っているため、顧客としてESUに登録するだけでは根本的な問題は解決しない場合がある。真の解決策は、Windows 11に対するベンダー自身の認証スケジュールと、最終的なアップグレードや機器更新にかかるコストにかかっている。また、エアギャップ環境や隔離環境に置かれたデバイスも存在し、そうした環境ではリスクは積極的に管理されているというより、当面は承知の上で受け入れられているにすぎない。したがって、ESUへの登録自体が優先事項にならないのだ」
望ましい状況とは言えず、Windows 11への移行が頭打ちになっているように見えることも事態の改善を妨げています。Statcounterなど他の市場シェア指標を見ても、サポート終了直後の急増を除けば、ここ数か月でWindows 10とその後継OSのシェアにほとんど変化は見られません。
Lansweeperは次のように指摘しています。「移行が容易な案件はすでに片付いている。残っているのは手強い中核部分、つまり移行できない、あるいは移行しようとしないデバイスだ」
この問題に拍車をかけているのが、高騰する新品PCハードウェアの価格であり、この傾向が当面改善する見込みは薄いといえます。
Microsoftによれば、「ESUプログラムは、重要かつ緊急性の高いセキュリティ更新プログラムへのアクセスを提供することで、マルウェアやサイバー攻撃のリスク低減に役立つ」としています。
Microsoftは、いまだ膨大な数のWindows 10端末が現存していることを認識してのことか、コンシューマー向けデバイス向けに 同プログラムを延長しました。Lansweeperの数字は、管理者が自社の保有資産の中にどのWindows 10デバイスが残っているのか、そしてそれぞれが完全にパッチ適用済みかどうかを把握しておく必要性を改めて浮き彫りにしています。
多くのデバイスは一定レベルの保護を受けられるとしても、そうでないデバイスも存在します。時間の経過とともに、特にWindows 11への移行が選択肢にない場合、脆弱なWindows 10デバイスの割合は増え続けていくことになるでしょう。®