こんにちは、管理人の高田です(@eizo_memo)。
去る4月15日あたりから にわかに騒がしくなった「Windows版QuickTimeのサポート終了問題」。
既に Appleからサポート終了に関する公式コメントもでたわけですが、しかしあまりに突然のことで「とりあえず 対応は様子見の状態」という方も多いのではないかと思います。
そこで、この記事では「そもそもの経緯」をまとめつつ、今回の事態によってWindows環境で作業する映像製作者に、今後どういった問題が生じる可能性が有り、またそれを受けて具体的に何をすべきなのか? を考えてみたいと思います。
今回の脆弱性の問題はあくまでWindows版のQuickTimeに限定のもので Mac環境におけるQuickTimeは従来どおり使用が可能とのことです。
記事の目次
状況の概観
今回の問題の経緯と それがもたらすであろう問題について考えてみます。
経緯
まずは、今回の騒動の経緯を簡単に時系列でまとめてみました。
- トレンドマイクロの技術チーム(ZDI)が「QuickTime for Windows(Windows用に配布されていたクイックタイム)」に2つの深刻な脆弱性を発見(参考A)(参考B)
- 2015年11月に ZDIはこれらの脆弱性をAppleに報告。しかし翌2016年1月にリリースされたv7.7.9でも脆弱性は修正されなかった
- そこで、ZDIがAppleへ再度問い合わせを行ったところ”Windows版「QuickTime」は廃止予定でありユーザーに削除方法を案内する”との告知を受けた
- 以上を受けてトレンドマイクロでは、Windowsから「QuickTime for Windows 」を削除するように告知を開始した。
その後、Apple自身も4月22日付けで QuickTime 7 for Windows のサポートを終了する旨の告知を公式サイトに記載しました。
しかし 2016年4月26日現在でも「QuickTime 7.7.8 for Windows」のダウンロードは可能な状態です。(※追記:2016年9月現在、ver7.7.8のダウンロードページは削除されましたが、QuickTime 7.6 (Windows) はダウンロード可能になっています)
結局どういうことか?
脆弱性がどうとか言われてもイマイチぴんとこない方も多いと思いますが、極簡単にいうと・・・
「今後、Windows版のQuickTimeを使い続けていると、ウィルスとかに感染する危険性が高いから 削除したほうがいいよ」ということです。
ならば 即座にQuickTimeを削除すればよいかというと、そうはいかない実情があります。
なぜなら 2016年4月現在 動画編集ソフトの多くが、QuickTimeに依存する形でデータの入力/出力(読み込みと書き出し)を行う仕様になっているからです。
詳細は後述しますが、現状では QuickTimeを削除した場合 動画編集ソフトの多くで読み込みないファイルがでてしまうのです。
「だったらMOV以外の形式でファイルをもらえばよいだけなのでは?」とお思いの方もいるかと思いますが、GrassValleyのEDIUSのように動画だけでなくJpegやTiffなどの静止画も読み込めなくなったりする事例もありますし、また 私のように過去のアーカイブデータをMOV形式で保存しているケースもそれなりの数いると思われ、いきなりQuickTimeを削除してしまうというのも これはこれで勇気のいる判断です。
危険性を覚悟で QuickTimeを入れ続けるか? はたまた 仕事上の利便性(融通)を無視して QuickTimeを削除すべきか? Windows環境のユーザは、現状、そのような選択肢を迫られています。
考えうる対応策とその問題点
まず大前提として心に留めておきたいのは、今回の問題とは 動画編集ソフトの側がQuickTimeに依存せずにデータを読み/書きできるような仕様に変更されれば解決する話です。
ですから あくまで一時的な混乱にすぎないわけで、以下のお話は あくまで「各社がそうした仕様を実装するまでの期間どのように対応するべきか?」という観点からお読みいただければと思います。
ちなみに、各社の上記対応時期として Avidは「今年後半にQuickTimeライブラリーへの依存性を排除したアップデートをリリースする予定」としていますが、Adobe、GrassValleyは「対応時期未定」であり、おそらく「数ヶ月程度」は現状の状況が続くものと予想されます。
それでは、それまでの間Windows環境の動画製作者はどのようなことに気をつけるべきなのでしょうか?
上記を受けて考えうる対応として、大きく「1:現状のまま放置する」「2:QuickTimeを削除する」の2つが考えられますが、それぞれに問題が生じます。
【2016年5月6日追記】 AvidやGrassValleyでは、上記の折衷案とでもいうべき「QuickTimeの脆弱性をできるだけ抑えた状態で そのまま放置する」対応策を提案しています(詳細は後述)。
そのまま放置した場合の問題点
けっして推奨されることではありませんが、ひとまず様子見・・・というのも、現実的な選択肢のひとつでしょう。
ただし 当然ですが「PCがウィルスなどの脅威にさらされる」危険性は覚悟しなければいけません。
あくまで 各動画編集ソフトがQuickTime依存を脱するアップデートをするまでの暫定的な措置として・・・です。
サードパーティのセキュリティパッチで対応可能?
トレンドマイクロによると、同社の”「TippingPoint」というサービスを利用すると 今回発見された2件の脆弱性からは(現状においては)保護される”とのことです。
ただし、こちらは企業向けの総合セキュリティパックサービスなので、個人ユーザは利用できませんし、将来にわたって危険性が回避されるわけではありません。
トレンドマイクロ自身も「最終的には Apple のアドバイスに従って QuickTime for Windows のアンインストールをいち早く検討することが正しい対処です」としています。
オフラインで使えば大丈夫?
ネット環境から隔絶したオフラインのスタンドアロン機として、QuickTime入りPCを利用すれば ウィルスの脅威から逃れられるような気もしますが、どうでしょうか?
上述のトレンドマイクロの記事によると「どちらの脆弱性も ユーザが不正な Webサイトを閲覧する、または不正なファイルを開くことによって攻撃に利用されます」とのこと。
実際の映像制作の現場において「外部から持ち込まれたファイルを読み込む」という行為は回避しようがありません。
ネット経由でなくても、クライアントからもちこまれたUSBメモリや外付けHDDなどから侵入する可能性はあるわけで、当然個々のファイルのウィルスチェックなどは行うにしても、それが完璧である保証はありません。
とはいえ もちろん何もしないよりは、危険に遭遇する確率をグッと下げることができるのも事実です。
機能を限定してQuickTimeを温存する
GrassValleyやAvidが、暫定的な対応措置として提案しているのが 機能を限定した形でQuickTimeを温存する方法です。
具体的には 一度QuickTimeを削除した後で、QuickTime Essentials のみを再インストールします。
これは 上述の「オフライン環境で使用」と同じ考え方で 根本的にセキュリティの脆弱性が解消されるわけではありませんが、危機に遭遇する可能性はおそらくずっと抑えられます。
あとは、天才的なハッカーがよからぬいたずらを思いつく前に、各社がQuickTimeに依存しない形の修正バージョンを出してくれることを祈るだけです。
後述のように、QuickTimeを削除した場合の挙動は動画編集ソフトによって大きく異なりますが、なかでもGrassValleyの「EDIUS」は致命的なまでにファイルの読み込みができなくなってしまいます(後述)。
私を含めたEDIUSユーザにとっては 正直、この対応策こそが現実的な落としどころかと思います。
QuickTimeを削除した場合の問題点
一方 トレンドマイクロが推奨するように QuickTimeそのものを削除した場合にも 問題が生じます。
現状、動画編集ソフトの多くがQuickTimeに依存した設計になっているため、読み書きができなくなるファイルが一部で発生してしまうのです。
QuickTime削除後の挙動については、編集ソフトごとに状況が異なっています。
Adobeの場合
各編集ソフトメーカが様子見状態の中、いちはやくこの件に関して言及したのはAdobeでした。
4月22日更新された公式記事によると<"QuickTime Windows版を削除しても Adobe Creative Cloudアプリケーションは利用可能です"とのこと。 ただし、以下の制限があります。
- ProRes形式、アニメーション形式の読み込みや書き出しは無理
- QuickTime Windows版に依存したサードパーティ製品との併用で不具合の可能性あり
1に関しては、アップル独自の形式であるため、現状では対応が無理なようです。
“ProResについては、現在(読み込みができるように)その対応を進めていますが、その対応時期は未定となっています”とのこと(※追記:2016年6月22日のAdobeアップデート(PremierePro2015.3)でProResのネイティブデコードに対応しました。)。
2に関しては、既にAJA社映像入出力ハードウェア利用での障害が報告されているそうです。
また、記事内に述べられているのは あくまで「デコード(=読み込み)可能」ということであり、MOV形式への「エンコード(=書き出し)」はできない模様 一部できないものもある模様。
関連記事 私の環境(CC2014)での、Premiere/AfterEffectsの動作を検証して記事にしました。
BlackMagicの場合
BlackMagicは、2016年8月に行われた「DaVinci Resolve」の「12.5.1アップデート」で、Windows環境におけるProResのネイティブデコードに対応しました。
.movファイルの読み込みや書き込みに独自のネイティブ64-bitコードが使用されるようになったため、QuickTime7を削除しても問題なく動作します。
Avidの場合
4月28日付でAvidもこの件に関してコメントを発表しました。
Media Composer は Avid コーデックではない QuickTime ムービー (H264, .MP4) のファイルインポート、ファイルエクスポートおよびファイルリンク (AMA) を除いて正常に機能します。(中略)Avid コーデック (例えば、DNxHD, DNxHR および ProRes) を使用する QuickTime ファイルは、QuickTime がインストールされていない環境でもリンクや再生が機能します。
QuickTimeムービーファイルの扱いに関する修正パッチを「年末までにリリースする」とのこと。
また、QuickTimeをインストールしたままでも、当面の間セキュリティ的な危険性を軽減する方法が紹介されています(根本的な回避策ではない)。
GrassValleyの場合
【2016年9月追記】EDIUS Pro8が「8.22」アップデートでWindows環境におけるMOV形式のネイティブデコードに対応しました。
5月2日付けでGrassValleyからも対応策についてのコメントが発表されました。
記事によると、QuickTimeを削除した場合 以下のファイルの入出力に影響がでるとのことです。
ファイルフォーマットの制限(以下のファイルが扱えなくなります)
・BMP (出力のみ不可); JPEG; JPEG2000; TIFF; PSD; PNG; SGI (入力のみ不可); GIF; GIF89a; JFIF; Mac PICT; sgiRGB.
・MOV形式のビデオファイル
・MOV形式の音声ファイル (LPCM, AACを除く)EDIUSインストール、アップデート時にQuickTimeの一時的なインストールが必要になります。
対象製品
・EDIUS Workgroup 8 / Pro 8
・EDIUS Elite 7 / Pro 7
・EDIUS Elite / Pro 6.5
・EDIUS Neo 3.5
・EDIUS Express
・EDIUSシリーズがインストールされている HDWS / REXCEED シリーズ
*上記に加え、サポート終了となったEDIUSシリーズも対象となります。
同時に「暫定回避策」としてQuickTimeを一度削除した後、最低限の機能のみ再度インストールする方法が掲載されています。
現在、QuickTimeに依存せずにEDIUSを動作させるような修正パッチを作成中とのことですが、「対応時期はまだ確定しておりません」とのことです。
また 上記はあくまで応急の対応策であり、根本的な解決法ではありませんので その点は留意しておきましょう。
【2016年5月10日追記】GrassValleyの当該記事では、当初、暫定措置を行った場合でも以下のファイルの読み込みはできない旨の記載がありました「・GIF89a; JFIF/・MOVビデオファイル: Sorenson, アニメーション, 3gp, 3g2/・MOV形式の音声ファイル (LPCM, AACを除く)」 ただし5月10日現在 それらの文言は削除されています。
関連記事 私の環境(EDIUS 6.08)で動作を検証して記事にしました。
具体的に今後どうすればよいのか?
それでは具体的に今後どのようなことに注意すればよいのでしょうか?
QuickTimeをそのまま温存する場合は、これまでどおりで特に問題は生じないかと思いますので、ここではQuickTimeを削除した場合に生じる注意点などを考えてみようと思います。
MAC環境からのデータ受けとり形式に注意する
これまで MAC環境から動画データを受けとる際に「ProRes」を指定していた方も多いのではないでしょうか?
フルHDサイズのファイルベース編集環境が普及し始めた時期に、高品質で かつOSに依存せずに 読み込み可能なコーデックとして登場したProResは、Mac環境から外部にデータを書き出す際の、デファクトスタンダードだったといっていいかと思います。
しかし QuickTimeを削除した場合、現状 PremiereやEDIUSでは ProResファイルが読み込めなくなっていますので(2016年5月現在)、その点をMAC環境の側と情報を共有しておきましょう。
【2016年5月追記】以前の上記記事では「"ProResでください"はもうできない」といった内容で記述していましたが、修正しました。 既にAvid Media ComposerではProResの読み込みが可能ですし、またAdobeもQuickTimeに依存しない形でProResの読み込みができるような修正パッチを開発中と明言しています(※GrassValleyは不明)。 繰り返しになりますが、今後一切Windows環境でProResが読み込めなくなる・・・という話ではなく、あくまで各社の修正パッチができるまでの「一時的な状況」として このような対応が必要になっているということです。ただし 我がEDIUSの場合 無償アップデートではなく「ProResコーデックオプション(8万円)」とか作っちゃいそうで怖いですが・・・
代替コーデックは?
では、一時的(或いは恒久的)にせよ ProResに変わるファイル形式として、MAC環境からのデータ受け取り時にどのコーデックを指定すればよいのでしょうか?
その点について、Adobeでは「GoPro CineForm」を提案しています。
「GoPro CineForm」は その名のとおりGoPro社のコーデックなのですが、無料配布されている動画編集ソフト「GoPro Studio」に付属しているため、容易に入手が可能です。
http://jp.shop.gopro.com/APAC/softwareandapp/gopro-app-|-desktop/GoPro-Desktop-App.html
ただし、これはAdobeが自社ユーザに向けて推奨しているコーデックに過ぎず、使用している動画編集ソフトによっては最適解ともいえません。
Media Composerのユーザであれば、Avid自身が開発した「DNxHD/HR(MXF)」で受け取ればよいでしょう(ProResも読めますし)。
問題はEDIUSユーザです。
GrassValleyも、MAC環境向けに 自社で開発したGrassValleyHQ/HQXコーデックを無料で配布しています。ですから 本来はこれで書き出してもらえればよいのですが、ここで問題が発生します。
MAC環境からの書き出しはMOVコンテナに限定されてしまうため、QuickTime削除後にMOV動画が読み込めなくなる現状のEDIUSでは、読み込みが出来ないのです。
そして、Adobe推奨のGoProCineformもおなじく(私が確認した範囲では)MAC環境から書き出す際にどうやらMOV形式に限定されてしまう模様(*1)。
ですから こちらもEDIUSでは読み込みができません(※いずれもQuickTimeが入っていれば読み込みできます)。
やはりEDIUSユーザは、QuickTimeを温存しつつおとなしくGrassValleyのアップデートを待つのが最善策のようです。
撮影時の収録フォーマットにも注意!
上記はMAC環境の外部製作者(スタジオなど)とのやり取りのお話ですが、それとは別に 撮影時の記録フォーマットとしてProResを採用しているカメラや収録機器があることも忘れてはいけません。
ARRIの「ALEXA」や「AMIRA」などのカメラ、Blackmagic「HyperDeck Shuttle」、AJA「Ki Pro」のような外部収録機器などは、収録フォーマットのひとつとしてProResが選択できるようになっています。
収録フォーマットの選択は ポスプロ全体の工程に関わる問題なので、自分1人の意向でどうこうできるものではありませんが、Windows環境の編集ソフトの一部でProResが使えなくなっている現状をスタッフ間で共有しておくことは大事です(※2016年4月29日現在Avid Media ComposerはProResの読み込みが可能)。
これまでは流れ作業で出来ていたファイルの受け渡しなどが、今後 出来なくなる可能性もありますので、プロデューサーなど全体の統括者と状況を確認しておきましょう。
アルファチャンネル付き動画の保存方法
私は個人的に これまでアルファチャンネル付きの動画を作成する際はすべて「アニメーション」で書き出していました。
自分用に作成していた膨大な量のアーカイブデータもすべてこの形式です。
いずれは、アニメーション形式も QuickTimeに依存せずに読みこめるように 各社がアップデートするものと信じていますが、別のコーデックの選択肢も持ちあわせた方がよいかもしれません。
第一候補として考えられるのはGrassValleyのHQXでしょうか?
アルファチャンネルが保持できる フリーの動画コーデックです。
とはいえ 正直 今回の一件を鑑みるに 一企業のつくったコーデックに過度に依存するのは、将来的に色々とリスクが生じそうです。
今後は「tiff」や「TGA」の連番での保存も検討してみる必要があるかもしれません。
参考サイト
最後に、記事の参考にしたサイトへのリンクを掲載しておきます。
・QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合
※追加情報部分に「Apple では、QuickTime 7 for Windows のサポートを終了いたしました。」との記載あり。
・QuickTime 7 for Windows をアンインストールする
・Alert (TA16-105A)
※US-CERTは、米国国土安全保障省(DHS)配下の情報セキュリティ対策組織で、国際的なサイバー演習 (直近では、CyberStormⅢ)の主宰なども行うほか、JPCERT/CC等の各国の関係組織との間で脅威情報の共有などの連携を行っている。
・Urgent Call to Action: Uninstall QuickTime for Windows Today(海外サイト)
・QuickTime for Windows の脆弱性に要注意(日本サイト)
・QuickTime Windows版のサポート終了について | Adobe Creative Station(日本公式)
・Windows における QuickTime のサポートおよびセキュリティについて
・WindowsにおけるQuickTime サポートとセキュリティについて
QuickTime for Windowsサポート終了とEDIUSのご利用について
・Quicktime For Windowsサポート終了~ProResはもうやめよう(3RD EYE STUDiOSさん)
・QuickTimeサポート終了に伴う脆弱性と対策(edius…?さん)
・GoProの無料コーデックが中間コーデックに使いやすいぞ!(ぼくんちのTV 別館さん)
Adobe CreatveCloudの導入/更新を検討している方には、たのまなの「アドビオンライントレーニング通信講座」がおすすめ。
Adobeアプリの動画講座に加えて、CreatveCloud コンプリートプラン(全アプリが利用可能なプラン)が付属し、なんと"学割価格" で利用できてしまいます。
※私が 実際にトレーニング講座を受講した際の感想を記事にしていますので、興味がある方はそちらも合わせて読んでみてください。