米マイクロソフトは2017年11月、同年10月にサポートを終了していたOffice 2007向けに修正プログラム(パッチ)を2度提供した。

 どうしてサポート切れの製品に修正プログラムを提供したのか。それも、1カ月に2度もだ。マイクロソフトはその理由を明かしていない。そこで別製品の対応状況と修正プログラムの目的からその理由を探っていこう。

サポート切れWindows XPにも修正プログラムを提供

 マイクロソフトが、サポート切れ製品に修正プログラムを提供するのは今回が初めてではない。過去に何度かあり、サポート終了直後に提供した近年の例では、2014年4月9日にサポートを終了したWindows XPに対して、2014年5月に修正プログラム(KB2964358)を提供している。このプログラムが対応する脆弱性は、XPなどが含むWebブラウザー「Internet Explorer(IE) 6」に見つかったもの。国内の複数の報道機関が、「米国のセキュリティ組織(US-CERT)がIEの使用を禁止した」などと報じたため、大きな騒ぎになったので覚えている人も多いだろう。

 このときUS-CERTは、「マイクロソフトが修正プログラムを提供しなければ別のWebブラウザーの使用を検討したほうがよい」とコメントしただけで、「使用禁止」とまで強く言っていなかった。実際、マイクロソフトが修正プログラムを配布した際、重要な更新プログラムの一つだったが、初期設定では適用されないため、ユーザー自身が更新を有効にする必要があった。こうした背景から、マイクロソフトはこの脆弱性を特別に危険だと考えていなかったかもしれない。

 報道などにより大きく騒がれ、Windows XPのサポートが終了したばかりだったので、「マイクロソフトは例外的に修正プログラムを提供した」とみられている。