少し前の話題になるが、Microsoftが8月17日(米国時間)に発表した「Internet Explorer 11(IE11)」と、従来までのWindows 10標準Webブラウザである「旧Microsoft Edge(Edge Legacy)」のサポート終了関連の話を改めて整理したい。同リンクの図表にもあるが、両製品のサポートにまつわる話題は下記3つのポイントにまとめられる。
- 2020年11月30日:Microsoft TeamsでのIE11サポート終了
- 2021年3月9日:Edge LegacyのEOL(End of Life)
- 2021年8月17日:Microsoft 365でのIE11サポート終了
つまり、Edge LegacyのEOLに合わせて既存ユーザーをChromium Edgeへと誘導し、IE11については主力製品であるMicrosoft 365のIE11からのアクセスを段階的に止めることで、結果としてIE11の利用価値を減らしてWebブラウザをChromium Edge(あるいはGoogle Chromeなど)に1本化していくことが狙いにある。
特に、2020年秋以降に配信が開始される次期大型アップデートの「20H2」では、全てのユーザーの標準ブラウザがEdge LegacyからChromium Edgeへと切り替えが行われるため、基本的に企業ユーザーがグループポリシーやWSUS(Windows Server Update Services)などでタイミングを操作しない限り、ほとんどのユーザーはEdge LegacyのEOLが到来する前にChromium Edgeへの切り替えが終了するとみられる。
ここでは、IE11のサポートについてもう少しみていく。
“IE 11 isn't going away”
ここで問題となるのは、IE11のサポートをMicrosoftが「IE 11 isn't going away」という形で続けていくことを表明する一方で、今回のMicrosoft 365におけるIE11サポートの段階的縮小を発表するなど、難しい位置付けにある点だ。
Microsoftが提供しているIE11向けのサポートは現状3種類あり、「“IE11”のセキュリティ対応」「Chromium EdgeでのIEモードによる後方互換性の維持」「Microsoft 365などWebアプリケーション経由でのブラウザ(IE11)サポート」の3つになる。
このうち、最後の部分については2021年8月17日に終了となるが、残りについては今後も継続され、それをそう簡単に止められない状況にある。それは、発表の中の見出しにもある「Respecting investments in IE 11 web apps(IE11のWebアプリ資産への投資を尊重する)」という表現にもみられるように、IE11依存の資産を持つ既存ユーザーをいまだ切り捨てられないことに起因する。
その実、Microsoftは自身のWebサービスでのIE11サポートを縮小する一方で、IE11そのもののサポート終了時期については明言していない。Edge Legacy終了後もWindowsの中で“コンポーネント”としてのInternet Explorer(IE11)は存在し、アプリケーション側の必要に応じてモジュールが呼び出される。
同社は「Lifecycle FAQ - Internet Explorer and Edge」と呼ばれる文書の中で、Edge Legacyのサポート終了時期(2021年3月9日)については触れているものの、IEについては「各々のWindowsバージョンで提供されている最新のInternet Explorerのみ、テクニカルサポートやセキュリティアップデートが提供される」とだけ記載されており、サポート終了に関する話題には触れていない。
このような現状で、現在IEユーザーはどのくらい存在するのだろうか。おなじみのStatCounterとNet Market Shareの2つの数字は下記のようになる。
StatCounterではChromeの69.55%に対してIEが2.76%(Edge Legacyは1.93%)、Net Market ShareではChromeの71.11%に対してIEが4.23%(“Edge”は8.09%)となる。StatCounterではEdge Legacyと明記されており、Chromium Edgeがどのように扱われているのか不明だが、現状の利用者数を鑑みるとOtherに含まれる可能性が高い(Chromium Edgeが公開された2020年1月以降にシェアが急増しているため)。Net Market Shareでは“Edge”とだけ表記されているが、そのシェアの高さから類推してEdge LegacyとChromium Edgeの両者を合算した数字だと考えている。
続いて、IEを使っているユーザーとそれが抱えるリスクについて考えてみよう。
関連記事
旧環境を使い続けるユーザー
どういった層がIEを利用しているのかはっきりとした区分けは不明だが、旧バージョンのWindowsを利用し続けるユーザーの他、前述のように企業で利用されるアプリケーション資産でいまだIE依存のものが存在し、その流れで利用ブラウザもIEになっているのではないかと推察する。
後方互換性のために用意されているEdgeのIEモードだが、基本的には企業内限定で管理者がグループポリシーを使ってホワイトリスト方式でIEモードを利用するサイトを指定する方式であり、例外としては「イントラネットに有効」のオプションが指定されていたときのみ、社内の当該サイトに対してはIEモードでのアクセスになる。
このため、Edgeからの“IEとして”のアクセスは限定的で、どちらかといえば当該のユーザーはIE11を“あえて”有効化して使っているということだろう。有名どころでは国税庁のe-Taxシステムが本稿執筆時点でWindows 10の場合“IE専用”となっていることが知られているが、このあたりの経緯は国際大学GLOCOM 客員研究員の楠正憲氏がコラムで解説している。
電子証明書の処理に機種依存となる仕様が盛り込まれていたのが原因の1つだが、かつて納税システムにActiveXが必須で環境依存から抜け出せなかった韓国の事例もあり、ライフサイクルの長いシステムにおける設計の難しさがうかがえる。
ユーザーとしての母数は非常に少ないながらも、IEが今日に続く“面倒な”事象を作り出してしまった時期から10〜15年近くが経過してなお、IE対応に頭を悩ませるWeb開発者が存在するのも事実だ。
例えばMozillaが発表している「Web DNA Report 2019」によれば、Web開発者がストレスを最も感じている要因として挙げているのが「(IE11など)特定ブラウザのサポート」だ。当該の解説ページにはいろいろ怨嗟(えんさ)の声が載っているが、大多数のユーザーがChromeベースのブラウザ環境を利用する一方で、後はSafariやFirefoxをカバーすればいいという状況で、流儀が1つだけ大きく異なるIE11対応というのは大きな負担なのだろう。
また、現状ではサポートが続いているから比較的問題は少ないものの、やはりサポート終了時期にかかった古いブラウザを使い続けるのは相応にリスクがある。Bleeping Computerによれば、8月11日に提供が行われたセキュリティアップデートで塞がれた脆弱(ぜいじゃく)性は、2020年5月に韓国のある企業をターゲットに発生したハッキングで用いられたゼロデイ攻撃の入り口だったという。
CVE-2020-1380と呼ばれるIE11内のRCE(Remote Code Execution)とCVE-2020-0986と呼ばれるWindows GDI Print/Print Spooler APIの権限昇格を用いた複合攻撃で、入り口を開けた後に攻撃コードを送り込む「Use After Free」攻撃のテクニックが用いられたようだ。
脆弱性自体は、IE9時代からJavaScriptの実行エンジンに存在していたものということで、これが後にゼロデイ攻撃に利用されたことになる。新しいシステムであれば必ずしも安全というわけではないが、ソフトウェアが最新の状態に保たれ、サポートされ続けているということは重要だ。最新状態になっていないソフトウェアやその環境は、こうしたリスクと隣り合わせだと改めて認識したい。
関連記事
関連リンク
"それの残り" - Google ニュース
September 02, 2020 at 10:00AM
https://ift.tt/2YWdi5P
Microsoft 365のIE11対応とEdge Legacy サポート終了の意味を改めて考える - ITmedia
"それの残り" - Google ニュース
https://ift.tt/382YkO0
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment