ここから本文です

「Windows 10 S」を機能不足と見るか、セキュアと見るか

6/28(水) 6:25配信

ITmedia PC USER

 米Microsoftが5月2日(米国時間)に発表した「Windows 10 S」は、教育機関向けにWindows 10 Proの機能を限定した新エディションだ。ただし、「WindowsストアからダウンロードしたUWP(Universal Windows Platform)アプリしかインストールできない代わりに、高速かつ安全性が高い」という話以外、あまり内部情報が積極的に公開されていないので、実体がよく分からないかもしれない。

【解説画像:Windows 10 S/Home/Proの機能比較】

 同OSに関する分析記事を以前に公開したが、機能制限版のWindows 10ということで「Windows 8.1 with Bing」のような廉価PC向けのマーケティング施策的な性格を持つ一方で、いわゆる野良アプリの導入ができず、マルウェアの侵入もブロックする可能性が高いことから、非常にセキュアなOSの側面もある。

 例えば、米Microsoftが公式ブログのWindows Security Blogで6月8日に公開した記事では、同社がWindows XP向けの緊急パッチを提供したことで話題になった「WannaCry」というランサムウェアに触れているが、この中で「Windows 10 Sで発動するランサムウェアは確認されていない」と述べている。

●Windows 10 Sで利用が制限されるもの

 Windows 10 Sに関する大前提として、まず「Windowsストア経由でダウンロードしたUWPアプリのみがインストール可能」ということが挙げられる。

 このルートを通らないアプリ、例えばATOKなどの日本語入力ソフトは現時点で使えない。また単純にUWPアプリというだけでもダメで、Windowsストア経由、つまり「署名入りUWPパッケージ」でなければならない。Microsoftとして安全性を担保したアプリのみインストールを許可する仕組みで、これによりセキュリティを確保している点が特徴だ。

 逆に言えば、Windowsストア経由で提供されるUWPアプリは基本何でも動作するということでもある。Windows RTにあったようなARMバイナリの実行のみを許可することもなく、Desktop Bridge(Project Centennial)を使ってUWPに変換された従来のデスクトップアプリでも問題ない。

 Microsoftの審査を通ったいうことが重要で、これがWindows 10 Sが従来の機能制限版OSと比べても使いやすいという点につながっている。基本的に、通常のPC向けWindows 10に仕様上の制限を加えたエディションであり、内部的な違いはほとんどないからだ。

 Windows 10 Sではアプリのインストールに関する制限だけでなく、既にOS本体に含まれている幾つかのファイルの実行に関する制限も含まれている。代表的なものが「コマンドプロンプト(cmd.exe)」で、コマンドラインを通じてのインタフェースが利用できない。Windows 10 S Driver Requirementsの文書によれば、OS本体に組み込まれているにもかかわらず、Windows 10 Sでは以下の実行がブロックされる。

・bash.exe
・cdb.exe
・cmd.exe
・cscript.exe
・csi.exe
・dnx.exe
・kd.exe
・lxssmanager.dll
・msbuild.exe
・ntsd.exe
・powershell.exe
・powershell_ise.exe
・rcsi.exe
・reg.exe
・regedt32.exe
・windbg.exe
・wmic.exe
・wscript.exe

 Bashを含むコマンドシェルの他、レジストリの操作など、OS本体に影響を及ぼす可能性のあるファイルは全て対象となる。また、PowerShellなどが含まれていることからも分かるように、あらゆるスクリプトは実行がブロックされる仕様だ。

 ドライバに関してもWHQLなどの署名が入ることが大前提だが、プリンタやスキャナなどに見られる専用のUIを含む設定メニューや実行ファイルを含んだものについてはインストールがブロックされるため、ドライバベンダーに対してこれらを含めないようMicrosoftが通知している。各種アップデートについても独自のプログラムは認めず、必ずWindowsストア経由で行うよう定められている。

 Windows 10 Sのさらなる各種制限については、米ZDNetのエド・ボット氏が詳しく書いている。

 制限の最たるものがブラウザだ。Windows 10 SではChromeやFirefoxがインストールできない。これはWindowsストアのポリシーとして、HTMLレンダラやJavaScriptエンジンがWindows標準のものに制限されているためで、サードパーティーのブラウザが自社エンジンを利用することを禁じている。デフォルトの検索エンジンやブラウザについても固定されており、MDMのような管理ツールを使ってポリシーを変更するしかない。

 また機能的な理由により、バックアップ系ツールやアンチウイルス、ディスク操作系ツールといったカテゴリーのサードパーティー製品も許可されない可能性があるようだ。また管理機能が充実しているのがWindows 10 Sの特徴ではあるが、一方でActive Directoryによって管理されるWindowsドメインには参加できず、Azure ADに接続する必要がある。

 以上をまとめると、Windows 10 Sが投入された背景にもあるように、教育分野や一部組織、あるいは比較的多くのコンシューマーには向いているものの、エンタープライズ用途や、比較的PCを使いこなしているユーザーには使いにくい面が大きい。

 日本でWindows 10 S搭載PCが投入されるのは2017年7月20日の「Surface Laptop」発売のタイミングとなるが、今後同OSをプリインストールしたデバイスが登場したとしても、これらの制限を認識したうえで利用する必要がある。逆に、これらの制限について問題を認識していない多くのユーザーにとっては、Windows 10 Sで十分なのかもしれない。

●Windows 10 Sは本当にセキュアなのか

 ここで冒頭の話題に戻ろう。米Microsoftの公式ブログにある「Windows 10 Sで発動するランサムウェアは確認されていない」というのは本当だろうか。

 Surface Laptopが先行投入された米国でも、その稼働時間は1カ月程度と短いので、当然まだ確認されていないという見方もある。しかし、Windows 10は最新世代のOSであり、何重にもかけられたガードを突破するのは容易ではないはずだ。おまけに前述のファイル実行制限もあり、侵入ルートは限られてくる。

 とはいえ、何事も100%安全とは言えないのかもしれない。米ZDNetのザック・ウィッテイカー氏はセキュリティ対策研究者のマシュー・ヒッキー氏の力を借りて、実際にWindows 10 Sをハッキングできるかどうかのテストレポートを公開した。結論から言えば、3時間程度で突破に成功したようだ。

 悪意を持った実行型ファイルの侵入ルートは前述のように強力な制限でふさがれており、正面突破は難しいようだ。一方で大規模拡散が話題となったWannaCryは、SMBというネットワーク経由のファイル共有の仕組みにおける脆弱(ぜいじゃく)性を突いた攻撃を用いていたが、現時点での感染報告のほとんどはWindows 7であり、Windows 10における感染報告はない。今後ゼロデイの脆弱性を突いた未知の攻撃が登場する可能性はあるものの、旧世代のOSと比較しても安全性は高いと考えられる。

 今回、ヒッキー氏がWindows 10 Sの侵入に用いたのは、Windowsストア経由で配布されている「Microsoft Word」だ。いわゆるDesktop Bridgeを使ってUWP変換されたデスクトップアプリであり、機能的には従来のデストップ版Wordと全く変わらない。

 デスクトップ版Officeは「マクロ」が実行可能という特徴がある。これを利用してWord文書に悪意を持ったマクロを埋め込み、「DLLインジェクション」という比較的メジャーな手法を使ってシステムへの侵入を試みたのだ。

 ただ単にWordに当該の文書を読ませた段階では保護ビューが作動してしまうが、社内ネットワークなど「信頼できる場所」に置かれたファイルについてはその限りではなく、警告メッセージを見逃してユーザーに悪意のある文書を開かせる機会を与えてしまう。これは管理者権限での攻撃プログラムの実行を許可する危険な状態であり、開いた時点で終わりだ。

 また、ソーシャルエンジニアリング的な手法で、USBメモリなどを通じて直接ファイルを開かせることも可能なようだ。文書を開いた時点で任意のプログラムが実行可能なので、その気になれば侵入は可能というのがヒッキー氏の結論となる。

 やはり100%安全とは断言できないものの、Windows 10 Sは非常に強固なOSだと言える。通常の運用においては、現時点で侵入の難度は高い。今回の検証で穴となったのはDesktop Bridgeで変換した既存アプリ経由ということで、この当たりがセキュリティ運用上の鍵となりそうだ。

[鈴木淳也(Junya Suzuki),ITmedia]

最終更新:6/28(水) 6:25
ITmedia PC USER