【サポート終了】Windows7を安全に使い続けて延命する方法とか

うちのメイン PC はもとから Windows10 機なのですが、テレビの録画用 PC が Windows7 のままで結局しばらく使い続けることになりそうなので、Windows7 機を安全に使い続けるためのメモ書き諸々…
(色々書いてたら長くてまとまりがなくなってしまった)

注意

私はそこそこ PC 周りの知識は持っているつもりですが、セキュリティの専門家ではありません。
細心の注意は払っているつもりですが、個人の見解が多分に含まれているため、内容が不正確な可能性があります(そもそも本当にセキュリティを気にするのなら素直に Windows10 にした方がいいです)
また、サポートが切れている以上、全て自己責任です。もしウイルスに感染したとしても、責任はとれません。

長々と書きすぎてかなり脇道にそれた内容になっています、参考にならないかもしれません。

はじめに

よく Twitter とかニュースとかで、「サポート終了でウイルス感染の可能性が…」とよく言われていますが、
普段から気をつけていれば、まずウイルスに感染することはありません。

OS と UAC

OS(オーエス)はオペレーティングシステムの略で、PC を動かすためのソフトウェアです。

よく、何かソフトをインストールするときに、盾マークと「次のプログラムにこのコンピューターへの変更を許可しますか?」とダイヤログが出ませんか?
(インストールしなくても使えるソフトもありますが)このダイヤログはユーザーアカウント制御(UAC)と呼ばれるもので、ここで OK をクリックすると管理者権限で実行されるため、実行したソフトが OS に変更を加えることができるようになります(1回限り・右クリック→管理者として実行でも OK )。

そもそも、通常ソフトウェアは OS に変更を加えることができず、管理者権限で実行してはじめて OS に変更を加えることができます。
…ソフトが勝手に OS の中身弄れたら大変じゃないか、と思うかもしれませんが、実は Windows XP 以前では、管理者アカウントでログインしていれば、ソフトが勝手に OS に変更を加えることができてしまっていました( XP が危険とされる所以らしい)。

これを平民・大臣・王に例えるなら、
昔( XP 以前)は大臣なら法律を勝手に変えられていたのが、それだと大臣が悪い法律を作りたい放題で問題だったので、大臣でも王にお伺いを立てないと( UAC のダイヤログで OK しないと)法律を変えられなくなった、
(ついでに平民も大臣の許しと王のお伺いを得れば( UAC のダイヤログで管理者権限のアカウントでログインすれば)一時的に大臣になって法律を変えられるようになった)といったところでしょうか。

ちなみに、王に相当する Administrator という特殊な権限を持ったビルトインユーザーもあるにはありますが、デフォルトで無効になっています(余程のことが無い限り使わないほうが良いと思います)。

…要するに、ウイルスが OS に変更を加える場合は、PC 利用者の明示的な許可が必要である、と言えます(もっとも、脆弱性があれば話は別ですが…)
後述しますが、ウイルスによっては管理者権限を得るため、無害そうなソフトに偽装、もしくは紛れ込んでインストールさせるもの(所謂トロイの木馬)もあります。

ただし、OS に変更を加えなくても、ハッカーのサーバーと通信して PC の情報を盗み取ったりすることはできてしまいます。ウイルスを PC の中に入れ、実行してしまった時点でアウトと思ったほうが良いでしょう。

ウイルスはどこから入ってくるのか

そもそも、ウイルスはどこから入ってくるのでしょうか。
いろいろありますが、代表的なのは、

  1. メールの添付ファイルを開いてしまった
  2. ダウンロードしたファイルやインストールしたソフトに紛れ込んでいた
  3. 外部ネットワークから OS の脆弱性を突いてきた

といったところでしょうか。

これを家・家の周りの塀・ゴキブリ(G)にたとえてみましょう。
Windows7 のサポートが終了すると、Windows7 の OS に存在する脆弱性(ぜいじゃくせい)が修正されなくなります。

…といっても何言ってるかわからない方も多いと思いますが、これを家で例えてみると、
Windows7 という家があったとして、脆弱性は家に空いている穴です。
当然 G(ウイルス)が入られると困るので、家の保証期間中は、家の建築主である Microsoft(マイクロソフト)が一生懸命穴を見つけ次第塞いでくれています。
G も G で穴を見つけたらそこから侵入しようとするので、いたちごっこです。
ですが、保証期間が過ぎると、「もう保証期間過ぎたんで穴塞ぐのやーめた、あとは自分でどうにかして」となってしまいます。これがサポート終了です。

…ここまで見ると、やっぱりウイルスに入られやすくなるように見えますが、もう1つバリアがあるのを忘れていませんか?
家の周りの塀の存在です。
…うちの家は塀なんか無いに等しいし普通に入れるぞ、という方もいるかもしれませんが、ここでは便宜上、塀はお屋敷とかにあるデカい土壁という設定にしておきます。
塀の中が Windows7 (OS) も含めた PC 全体、家が Windows7 (OS) とします。

つまり、家が穴だらけなら、そもそも G を塀の中に入れなければ良いのです。
家の周りの塀はそこまで穴だらけではないので、G は穴からではなく、ある意味正攻法で入ってこようとすることが多いです。
1番目の「メールの添付ファイルを開いてしまった」は、届いた封筒の中に入っていた小箱を開けたら G が入っていた、
2番目の「ダウンロードしたファイルやインストールしたソフトに紛れ込んでいた」は、Amazon で頼んだダンボールに G が入っていた・頼んだ家具に G が住み着いていた、
3番目の「外部ネットワークから OS の脆弱性を突いてきた」は、塀の門扉が開きっぱなしになっていて誰でも塀の中に入れる状況で、G が家の穴から家に入ってきた、のようにたとえられるでしょうか。

なので、確かにウイルスに感染しやすくはなるが、そもそもウイルスを PC の中に入れなければ基本的には安全のはずです。

ちなみに、家に空いている穴(脆弱性)は、Windows10 だからといって全部塞がれているわけではありません。
いくら最新の更新プログラムを適用していても、変なファイルダウンロードして開いてしまえばウイルスにかかってしまう事もあります。
だからこそ、そもそもウイルスを入れないように注意すべきです。

怪しいサイトにアクセスしたらウイルスに感染する、はウソ

「いやいや怪しいサイトにアクセスしちゃったらウイルスに感染しちゃうんじゃないの」という方もいるかもしれませんが、これは基本的にありえません。

Web サイトを開くと、その Web サイトの文書に記述されている JavaScript というプログラミング言語で書かれたプログラムが動作します。
「なにそれ危険じゃん!!」と思われるかもしれませんが、わかりやすい例だと Twitter (Web版) でツイートボタンを押すとツイート入力フォームが出てきたり、リツイートボタンを押すとリツイートできたりするのもすべて JavaScript のおかげで、動きのあるWeb サイトを作るためには欠かせないもので、JavaScript 自体は怪しいものではありません。

JavaScript は無効にすることもできますが、世の中のサイトのほとんどが JavaScript を利用しているため、多くのページが正しく表示できないか最悪全く表示できないページもあるため、おすすめしません(JavaScript 無効化した状態で見れるサイトもう阿部寛のホームページくらいしかなさそう)。

当然 JavaScript を使ってウイルスを勝手にダウンロードしたり実行したりできてしまったら大変なので、ブラウザにはサンドボックスという、ブラウザの中でしか JavaScript を実行できない(ブラウザの枠を超えて PC に悪影響を及ぼさない)ようにするための仕組みが備わっています。
サンドボックスがあるおかげで、JavaScript からは PC 内にあるファイルを勝手に読み取ったり実行したりはできないようになっています(他にも多くのセキュリティ制限が掛かっています)。
密閉された虫かご(ブラウザ)の中で虫(JavaScript)が動いているが虫は外には出られない(アクセスできない)、とたとえるとわかりやすいでしょうか。
最近は Web アプリの発展もあって Camera API や Clipboard API のような PC 上のデバイスやデータにアクセスするための機能も追加されていますが、どれも利用者が「許可する」を明示的にクリックしないと使えないようになっています。

ブラウザと脆弱性

ただ、先ほど「『基本的に』ありえません」と書いたのには訳があり、ブラウザ、またはブラウザのプラグイン自体に脆弱性がある場合は、JavaScript や Flash などから勝手にファイルをダウンロード・実行できてしまう事があるかもしれないからです。

最近 Flash のサポート終了の話を聞きませんか?
Flash (Adobe Flash Player) は元々ブラウザのプラグインとして動作しますが、脆弱性が多すぎる(穴だらけ)な上に、ブラウザ自体のサンドボックスと Flash のサンドボックスが別で、しかも Flash のサンドボックス機構が結構弱めだったりと、かなりセキュリティ的に脆弱でした…
十年近く前にはこれを悪用し、不正な Flash スクリプトが埋め込まれたサイトを開くと勝手に実行されてしまうウイルス(ドライブバイダウンロードと呼ばれる手法らしい)が流行したことがあったらしいです。
結局その後、Flash は穴だらけという事が判明して Adobe もお手上げとなり、業界全体で穴だらけの Flash を撲滅する方向になった、というわけです。
Chrome や Firefox というブラウザでは Flash が毎回許可しないと使えなくなり、Web サイトで使えるプログラムが実質 JavaScript 一択になった以上、ブラウザはよりセキュアになっていると言えます。

もし、Internet Explorer(IE・左のアイコンのやつ)というブラウザを使っている場合も要注意です。というか今すぐ Chrome に乗り換えてください。

Internet Explorer は Microsoft が開発している Web ブラウザーですが、ボロいせいで元々脆弱性が多いほか、そもそも Windows7 のサポートが終了した後は Windows7 向けの Internet Explorer は修正プログラムが提供されなくなります。
あと、先ほどの Flash の他にも Java アプレットや Silverlight といった古い技術を未だサポートしてしまっているので、その点攻撃に脆弱なブラウザともいえます。

Chrome というブラウザはあの Google が作っているため、セキュリティに関しては万全です。
少なくとも後数年(最低でも2021年7月まではサポートするらしい)は Windows7 のサポートをしてくれると思いたいですが、もし Chrome のサポートが切れた場合は、その PC では Web ブラウジングしないようにするか、潔く PC を買い替える / Windows10 にアップグレードした方が良いです。

…正直、OS のサポート切れよりもブラウザのサポート切れの方が深刻です。

ブラウザは先ほどの例で言うと「家の周りの塀」にあたりますが、塀に穴が空いた場合、G(ウイルス)が入り放題になってしまいます。
ブラウザはアップデートで常に鉄壁の壁を維持していますが、サポートが切れた場合は家の庭まで G が入れるようになってしまい、さらに OS 自体もサポートが切れていて穴だらけのため、結果的に家の中まで G がするする入って来られるようになってしまう可能性があるからです。
こうなってしまうと、(マスコミ等で言われているような)本当にウイルスにかかりやすい状態になってしまいます。

Windows7 は比較的新しい技術の上で構築されているので、2021年7月以降も暫くは Chrome のサポートを継続してくれると思いたいですが( Windows7 の企業向けの延命(有料オプション)プログラムは3年間の予定らしいので、それが終わるまではサポート継続すると予想)、
XP のサポート終了時に Chrome が1年半でサポートを打ち切っていた中、Firefox という別の有名なブラウザは3年間くらいサポートを継続してくれていたので、もし Chrome のサポートが打ち切られても Firefox のサポートが継続していればそちらに乗り換えてブラウジングを継続することはできると考えています。

「最新のブラウザをつかっている限りは」怪しいサイトにアクセスしたらウイルスに感染する、といった事は基本的にあり得ない、といえます。
裏を返せば、IE のような古いブラウザを使い続けていたり、Chrome や Firefox のサポートが切れた状態で使い続ける場合は、ブラウザでサイトにアクセスしただけでウイルスに入り込まれてしまう、という事態もあり得ます。

セキュリティソフト

ノートンとかマカフィーとかセキュリティソフトは色々あります( PC にプリインストールされている場合は知らぬ間に使っているかもしれません)が、セキュリティソフトは、先ほどの例で言うと「家の周りの壁」を超えて家の庭までやってきてしまった G(ウイルス)を、家に侵入したり家の庭で暴れるのを水際で食い止める門番役です(セキュリティソフトにファイアウォール機能がついてる場合もあるけど割愛)。

セキュリティソフトはダウンロードされてきたファイルを常に監視していて、もし怪しいファイルだった場合は安全な場所に隔離し、実行されないようにします。
そもそも、(特殊な脆弱性がなければ)基本的にウイルスはダウンロードされてきただけでは動けず、ユーザーか別のソフトに実行して貰ってはじめて動き始めます。
ユーザー、もしくは他のソフトに実行される前に隔離して、ヤバそうだったらユーザーの許可を得た上で抹消するのがセキュリティソフトの役目です。

ちなみに、市販のセキュリティソフトを利用しない場合、Windows7 では Microsoft Security Essentials か Windows Deffender が有効になっているはずですが、それらの更新もサポート終了後は行われなくなります。
もしそれらのセキュリティソフトを使っている場合は、Windows7 のサポートを継続しているセキュリティソフトをインストールしておくと良いでしょう。

まだ無料で Windows10 にアップグレードできる

お使いの PC が Windows10 に対応してれば、の話ですが、今でも無料で Windows10 にアップグレードすることができるのは知っていますか?
悪名高いあの強制アップグレードは終了しましたが、大々的に宣伝していないだけで、Windows10 へのアップグレード自体は今でもできるようになっています(本当は終了予定だったが Windows を売るよりも早くみんな Windows10 に移行して貰ってそこでビジネスやりたい、という目論見らしい)。

こちら からアップグレードツールを実行すると Windows10 にアップグレードできるようです( この記事 が詳しいと思います)。
ただし、PC によっては要求スペックを満たしていても、アップグレード途中で失敗する可能性もあります。
私の録画 PC は強制アップグレードのときに失敗して Windows7 に戻した事がありますが、以前アップグレードに失敗した・うまく動かなかった PC は無闇にアップグレードしない方がいいかもしれません(一応アップグレードしてから10日間は Windows7 に戻せるみたいですが一応)。
必ずシステムの復元など、バックアップを取るようにしてください。

あと、Windows7 と Windows10 では UI も使い方も異なります。

たとえば「コントロールパネル」が「設定」に置き換わっています(…のはずが完全に移行できていないので細かな設定をする場合結局コントロールパネルを使うことに…)。

あとはスタートメニューがタイル型になっていたりするので、暫くは慣れが必要かもしれません。
ご高齢の方であまりバリバリ使わない方であれば、アップグレードしない方が良い場合も考えられます。

具体的に何に気をつけるべきか

メールの添付ファイルを開かない

先ほども紹介しましたが、基本的にメールの添付ファイルは開かないほうがいいでしょう。
信頼できるサイトから来たから大丈夫と思いきや、送り主の名前が同じだけで送信元のメールアドレスが違うこともあります。
ウイルスの侵入経路のほとんどがメールの添付ファイルによるものです。

.exe ファイルだけでなく、Word・Excel・PowerPoint といった Office 系のファイルにも要注意です。
最近ではファイルを Office で開くと内部に埋め込まれている不正なマクロが作動し、ウイルスをダウンロードして感染させる Emotet というウイルスが流行っています(詳しくは こちら )。

過去には PDF で任意のコードを実行できてしまった例もあるので、対策済みとはいえ PDF もちょっと注意した方がいいかもしれません( Chrome なら単体で PDF が開けるので、その方が安全かもしれません)

信頼できるサイト以外からはファイル(特に .exe )をダウンロードしない

できれば、そもそも新規でソフトを入れないのが理想でしょう。

最近「マイクロソフト セキュリティアラーム」とかいう恐怖を煽る偽の警告が良く出てきますが、誘導された先のソフトをインストールしてしまうと、それこそウイルスに感染してしまいます。
この偽の警告は広告配信ネットワークを悪用して湧いてくるので、uBlock Origin というブラウザの拡張機能(広告を問答無用で消してくれるいわゆる広告ブロッカー・Chrome 用Firefox 用)をインストールしておくと別タイプの偽の警告も含め、ほとんど出てこなくなります。
YouTube とかの広告も消してくれるので、入れておいてまず損はないと思います。

広告をブロックするために権限を求められますが、オープンソースで1000万人もの利用者がいるので安全です
Adblock Plus や uBlock (Origin のつかない方) も有名な広告ブロッカーですが、これらはサイトが開発元に貢ぐと貢いだサイトの広告を表示するなどの不穏な話が流れているため、あまりおすすめしません。

Windows ムービーメーカーの偽配布やってるやつとかも注意です。
あれも中身マルウェアで何されるか分かったもんじゃないので要注意…(はよ消えろ)

あとは怪しい中華ソフトメーカー(WonderShare・ApowerSoft・Digiartyあたり・普通のソフトぶってるけど中身は粗悪で得体が知れない)とか、偽の Flash プレイヤーのアップデート警告とかでしょうか…

ソフトをダウンロードするときは、配布元が正規の URL かどうか、また信頼できるかどうかをよく考えてダウンロードしてください(私みたいにそこそこ長く PC を使っていると怪しいサイトとそうでないサイトが勘で分かるようになったりもしますが…)。

Windows Update を全て適用する

Windows7 のサポートは終了しましたが、そもそも Windows Update が数年分適用されていないような PC もあります

祖母の PC がまさにそれでした(数日に1回、1~2時間使うかどうかでバックグラウンドで Windows Update する時間すらなかったらしい)

コントロールパネル → システムとセキュリティ → Windows Update から、利用できる更新プログラムに全てチェックをつけてインストールし、Windows7 をサポート終了時点での最新の状態にしておきましょう。
更新プログラムが溜まっている(更新プログラムの日付が古い場合はかなり溜まっています)場合は一度に全てはインストールできず、一度更新プログラムをインストールして再起動し、その後また更新プログラムを確認すると次の更新プログラムが出現することがあります。
これを繰り返し、「利用できる更新プログラムはありません」という状態になれば完了です。

Internet Explorer を使わない & Chrome・Firefox をアップデートする

先ほども解説しましたが、Internet Explorer は元々古いブラウザな上、Windows7 向けに関しては脆弱性の修正が今後行われないため使わないようにしてください。

代わりのブラウザとして Chrome や Firefox がありますが、もし既にインストールしている場合は、自動更新が有効になっているかを確認し、もし無効になっていた場合は有効にした上で、ブラウザをアップデート(更新)してください。
古いブラウザを使い続けるのはセキュリティ上危険です。できるだけ最新のブラウザを使うようにしましょう。

セキュリティソフトを入れる

Windows7 にデフォルトで搭載されているセキュリティソフトの Windows Defender・Microsoft Security Essentials は Windows7 と同時にサポートが終了しているので、「ないよりマシ」レベルです。

前述しましたが、できれば市販のセキュリティソフトを入れておくといいでしょう。
ノートンとかマカフィーとか ESET とかセキュリティソフトにもいろいろありますが、私は家族でノートンを契約していてちょうどライセンスに空きがあったのでノートンを入れています。

マカフィーはメインの PC にデフォで入っていましたが使い勝手がクソでした
Windows10 は Windows Defender がかなり高性能なのでわざわざセキュリティソフトを入れなくても大丈夫です(←あまり知られていない)

グローバル IP アドレスから直接 PC にアクセスできる状態を作らない

…ちょっと何言ってるかわからないと思いますが、グローバル IP アドレスはネット上の郵便番号で、ローカル IP アドレスはネット上の番地や部屋番号にあたるものです(ちょっと語弊がありますが…)
例えば google.co.jp にアクセスするときも、実際は google.co.jp と紐付いているグローバル IP アドレス宛にアクセスしてデータを取ってきています。
一方、ローカル IP アドレス(192.168…みたいなやつ)は家の Wi-Fi の中でのみ使われるものです。
現実の郵便番号とは異なり、通常はグローバル IP アドレスは一家に1個です。

…で、何が言いたいかと言うと、通常グローバル IP アドレスは一家に1個なので、例えばグローバル IP アドレスが 11.4.5.14 だとして、家の Wi-Fi につないでいる PC やスマホは Web サイトのあるサーバーからは全て 11.4.5.14 からのアクセスが来た、としか判別できません。
家にある Wi-Fi ルーター(実際はプロバイダや環境によって異なりますが Wi-Fi ルーターということにしておきます)にグローバル IP アドレスが割り当てられていて、PC は Wi-Fi ルーターを介してネットにアクセスしているため、 11.4.5.14 にサーバーの方からアクセスしても(特殊な設定を行っていなければ)通常は通信は Wi-Fi ルーター側でブロックされるだけで、PC に届きません。

ところが、自宅サーバーを建てている人などは、Wi-Fi ルーターの特殊な設定で「11.4.5.14 宛のアクセスは全て(または一部)ローカル IP アドレス 192.168.1.19 に送る」のようにしていることがあり、その場合はネットから PC が丸見えになってしまいます。
Wi-Fi ルーター(先ほどの例でいう「家の周りの壁」役)がブロックしてくれないので、もし怪文書(不正なリクエスト)を送りつけたら PC 内部に侵入できるような脆弱性が見つかった場合、外部から PC に攻撃をモロに受け、何もしていないのにウイルスに感染してしまうことがあります。
この手法で広まったのが所謂 WannaCry とかの「ランサムウェア」で、世界中のグローバル IP アドレスを総当たりし、もし PC がネットに丸見えになっていた場合は攻撃して PC 内に潜入してファイルを暗号化し金銭を要求する、という恐ろしいウイルスです。

… WannaCry があれだけ流行ったことからして、それだけネット上に丸出しの PC が一定数存在するという事が言えるでしょうか。
普通は Wi-Fi ルーターが盾になって守ってくれているので心配はないとは思いますが、頭の片隅にでも入れておいてください。

フリー Wi-Fi に接続しない

Windows7 のノート PC をフリー Wi-Fi につなぐこともあまりないとは思いますが、フリー Wi-Fi には接続しないようにしましょう。
(攻撃者が実際にその場の近くにいる必要があるため)ないとは思いますが、フリー Wi-Fi では他に接続している(同じローカルネットワーク内の)端末から自分の PC が丸見えになっていることがあります(逆もまたしかりです)。
もしそのフリー Wi-Fi に悪意をもったハッカーが接続していて、かつ Windows7 に不正な通信を受け取ると任意のコードを実行できてしまうような脆弱性があったとしたら、PC にウイルスを仕掛けられてしまう可能性もあります。
また、これは Windows7 に限らず PC やスマホ全てに共通しますが、基本的にフリー Wi-Fi は盗聴などの危険性がともないます。
銀行にログインしたりアマゾンで買い物したりといったお金が絡む事を行う場合は、フリー Wi-Fi を使わないほうが良いでしょう。VPN を使うという手もあるにはあります。

フリー Wi-Fi は接続しても回線が混んでいて遅すぎるし、テザリングした方が速い場合がほとんどなので私はそもそも使っていません…

おわりに

…これくらいでしょうか…?(抜けてる箇所ありそう)
Windows7 は XP よりは遥かにセキュリティに関して対策されている印象ですが、サポートが切れている以上、安心はできません。あくまで自己責任の上で使ってください。

また、CPU が Core2Duo・Quad・Pentium (古い方) 、メモリが 2GB 以下の PC の方は素直に PC を買い替えたほうがいいかもしれません。
Core i シリーズならまだ大丈夫ですが、先ほど挙げた PC は Windows10 を入れると激重になるほか、ブラウジングくらいしか使わない場合でもブラウザや Web アプリは高機能化にともないどうしても重くなるので、買い替えたほうが幸せになれるとおもいます。

コメント