Windowsの印刷システムに過去20年で最大の技術革新、セキュリティが大きく向上

同社のブログ

　米国時間12月13日にCanaryチャネルでリリースされた「Windows 11 Insider Preview」Build 26016には、「Windows保護印刷モード」（Windows Protected Print Mode：WPP）と呼ばれる新しい印刷モードが導入されているとのこと。Windowsの印刷システムに加えられる変更としては、ここ20年以上のうちで最大のものになるという。

　「Stuxnet」や「PrintNightmare」といったマルウェアに代表されるように、Windowsの印刷システムはアタッカーの標的にされることが多かった。それには、さまざまな理由がある。

• ネットワーク上のドライバーファイルを指定してロードする仕組みがある。認証がバイパスされるなどすると、悪意あるファイルが読み込まれる可能性がある
• ドライバーは高度な特権を持つスプーラー（Spooler）プロセスで実行される。ひとたび実行されれば、エンドユーザーが気付くことはない
• プリンタードライバーがアップデートされておらず、古いままであることが多い。そうしたドライバーには「Control Flow Guard」（CFG）、「Control Flow Enforcement Technology」（CET）、「Arbitrary Code Guard」（ACG）といった最新のセキュリティ緩和策が適用されない
• パーミッションが過剰で、ドライバーはほぼ制限なく印刷プロセスをコントロールできる
• ドライバーが発見されても、Microsoftはパブリッシャーにドライバーのアップデートを依頼するしかない。パブリッシャーがすでに存在していなかったり、製品のサポートが終了している場合、対処のしようがない

　そこで、同社のセキュリティチーム（MORSE）はこの1年間、Windows Printチームと協力し、印刷システムの近代化に注力してきたという。

　基本的な方針は、サードパーティ製ドライバーを排除して、OSに内蔵されるモダンな印刷スタック（Internet Printing Protocol：IPPベース）だけで印刷が行えるようにすることだ（ドライバーレス印刷）。同社はすでにサードパーティ製プリンタードライバーの「Windows Update」提供を段階的に終了する方針を掲げているが、それと並行してWPPへの移行が図られる。

　「Mopria」認定プリンターでしか利用できないのはデメリットだが（とはいえ、ベースとなっているIPPプロトコルは十分に普及しているため、あまり心配しなくてよい）、サードパーティ製アプリインストーラーなどは一切不要となるため、ユーザーにとってもセットアップがシンプルになるというメリットが得られる。

　もし内蔵スタックだけでは機能が足りない場合は、プリンターベンダーが提供する「PSA」（Print Support Application）が「Microsoft Store」経由で自動セットアップされる。このアプリはUWPアプリなどと同じくサンドボックス実行されるので、万が一ユーティリティにセキュリティ上の問題があっても影響を最小限に抑えられる。

IPPプロトコルで印刷。ドライバーは製造元のものを使わない。足りない機能は「PSA」アプリで補うが、これも「Microsoft Store」経由で自動セットアップされる

　そのほかにも、スプーラープロセスの権限を制限したり、最新のセキュリティ緩和策を適用するといったモダナイズが行われる。

　MORSEが分析したところによると、WPPの導入は脆弱性緩和にかなり役立つとのこと。設定を変更することを不便に感じる人もいるかもしれないが、全体的なユーザーのセキュリティのためにはそれが最善であるとしている。まだ時間はかかるだろうが、WPPは最終的にWindowsのデフォルトでONになる見込みだ。既存のドライバーベースの印刷も引き続きサポートされるため、古い機器が利用できなくなってしまうことはない。

Windows 11の「印刷の管理」。最近のプリンターであればIPPには対応済み

　なお、WPPを有効化するには、現在のところグループポリシーの編集が必要となる。