Windows 7 を使い続けているユーザーの間で「Microsoft Security Essentials(MSE)の定義ファイルが Windows Update から降ってこなくなった」という報告が相次いでいます。延長サポート終了後も 2025 年 2 月 21 日までは更新されていたものの、それ以降は沈黙――。この記事では、自動配信停止の実態と手動で最新定義を適用する完全手順、さらに今後のセキュリティ戦略までを網羅的に解説します。
1. MSE 定義ファイル更新停止は本当に起きたのか?
Windows 7 は 2020 年 1 月 14 日に延長セキュリティ更新プログラム(ESU)も終了し、原則として Microsoft のサポート外です。ところがウイルス対策エンジン MSE 向けの定義ファイル(KB2310138)は、特例的に 2025 年 2 月 21 日版 「1.425.571.0」 まで Windows Update/WSUS 経由で配信されていました。その後は新しい定義がカタログ上で公開されているにもかかわらず、自動配信が途絶えた――これが現在の状況です。
- 最後に自動配信されたのは 2025年2月21日 版。
- 同日以降の定義パッケージは Microsoft Update Catalog に掲載されるものの、Windows Update クライアントは検出しない。
- 手動で
mpam-fe.exeを実行すれば 5月29日 時点の「1.427.155.0」など最新定義を取り込める。
2. 自動配信停止の背景を読み解く
Microsoft から公式アナウンスは出ていませんが、テレメトリ値の低下とコスト削減が理由と考えられます。Windows 7 クライアントは市場全体の 3% 未満、さらに MSE を利用している比率はごくわずかです。
配信プログラム自体が打ち切られただけで、定義ファイルのリリースは続いている──これが技術検証で得られた答えです。
3. 手動で最新定義を適用する 2 つの方法
3‑1. MSE ユーザーインターフェースから「定義の更新」ボタンを押す
- MSE を起動し [更新] タブを開く。
- [定義の更新] ボタンをクリック。
- 数分待ち、定義バージョンが上がることを確認。
この方法は内部 API で直接 MMPC サーバーへ接続するため、Windows Update の有効/無効に関わらず成功します。
3‑2. オフライン定義パッケージ mpam-fe.exe を用いる
- 別 PC や Edge/Chrome から「Microsoft Update Catalog」で KB2310138 を検索。
- 目的のアーキテクチャ(x64 / x86)に合った最新の
mpam-fe.exeをダウンロード。 - Windows 7 本体へコピーし、ダブルクリックしてインストール。
- 完了後に MSE で定義バージョンを確認。
ダウンロード容量は約 60 MB。オフライン環境や回線の細い現場ではこちらが確実です。
4. 更新に失敗するときのチェックリスト
| 必要項目 | 確認・対処手順 |
|---|---|
| SHA‑2 コード署名サポート (KB4474419 / KB4490628) | 両パッチが未適用だと署名検証に失敗する。 Windows Update カタログから個別に導入し、再起動。 |
| TLS 1.2 有効化 (KB3140245) | MSE は TLS 1.0/1.1 を拒否する場合あり。 レジストリ SchUseStrongCrypto=1 を設定し再試行。 |
| プロキシ / FW 設定 | ポート 443 を *.microsoft.com へ開放。誤検知を避けるため、一次的に AV 以外のフィルタリングを外す。 |
| ルート証明書の更新 | 古い証明書ストアではサーバー証明書が検証できない。 「信頼されたルート証明機関の自動更新」を有効にし再接続。 |
| システム時刻 | 時計が 5 分以上ずれると HTTPS ハンドシェイク失敗。 BIOS 電池切れに要注意。 |
5. よくある質問(FAQ)
Q. 「Windows Defender」の定義が上がりません。 Windows 7 の Defender はスパイウェア対策専用で、ウイルススキャン機能はありません。MSE をインストールしているか確認してください。 Q. 0x800B0109 や 0x80072EFE エラーが出る。 署名または通信遮断エラーです。
前章の SHA‑2 / TLS / FW チェックを実施し、再度手動更新を試してください。 Q. 定義が最新なら Windows 7 でも安全? OS 自体の脆弱性は修正されません。機密業務やオンラインバンキングには推奨されません。
6. 今後の代替策と移行シナリオ
1) Windows 10/11 へアップグレード
ハードウェアが対応しているなら最優先。Defender は OS 組み込みで管理工数も低減します。
2) サードパーティ製 AV への乗り換え
ESU が終了した Windows 7 でもインストールできる現行サポート製品が複数存在します。ライセンス費用はかかりますが、定義配信が停止するリスクを先延ばしできます。
3) オフライン化+限定運用
どうしても業務上 Windows 7 を残す場合は、インターネット接続を遮断し、USB 経由のファイル授受はスキャン用 PC を経由させる「ゲートウェイ方式」が現実的です。
7. リスク低減のためにできる 5 つのこと
- 定期バックアップの自動化 ─ オフライン / クラウド双方の多重バックアップ体制を敷く。
- 最新ブラウザへ切り替え ─ Firefox ESR や Edge Chromium の最終 Windows 7 対応版を維持。
- UAC を最高に設定 ─ 標準ユーザーでの日常運用を徹底。
- SMB1 を無効化 ─ WannaCry クラスのワーム再来を防止。
- マクロ実行ポリシーの強化 ─ Office ファイルからの自動実行をブロック。
8. 要点まとめ
| 確認項目 | 推奨アクション | 備考 |
|---|---|---|
| 自動更新が停止 | MSE の UI または mpam-fe.exe で手動更新 | 最終自動版は 2025‑02‑21 |
| 署名関連エラー | KB4474419 / KB4490628 を再確認 | SHA‑2 対応必須 |
| TLS エラー | KB3140245 適用 & TLS 1.2 有効化 | 古い Cipher Suite を排除 |
| 今後の戦略 | Windows 10/11 移行またはサードパーティ AV | OS の脆弱性は残る |
| 運用ポリシー | 最小権限・多層防御・バックアップ | 被害を限定 |
9. さいごに
MSE の定義ファイルは 2025 年 6 月時点でも毎日リリースされており、自動配信が止まっただけ というのが真相です。とはいえ手動更新は手間がかかり、やがて打ち切られるリスクも否めません。
Windows 7 を愛用するあなたが今すぐ取るべき行動は「最新定義を欠かさず適用する」と同時に「将来の移行計画を立てる」こと。この記事がその第一歩となれば幸いです。
コメント