皆さん、こんにちは。セキュリティレスポンスチームです。
年の瀬が近づき、バタバタと忙しい日を過ごされていることと思います。私たちセキュリティレスポンスチームも、12 月のビッグリリースを終え、ようやく落ち着けるかな? (落ち着きたいな) というところです。ここで、ちょっと今年のリリースを振り返ってみました。
それにしても今年はたくさん出ました。100 件を超えたのは 2000 年以来です。本当に慌ただしい一年だった気がします。今年 6 月の CVE 34 件、8 月の月例セキュリティ情報 14 件、10 月の月例セキュリティ情報 16 件・CVE 49 件と、リリース数および対応 CVE 数は記録更新を重ね、12 月には最後の記録更新 (セキュリティ情報 17 件) で締めくくりました。定例外リリースも 4 件 (MS10-002 (IE)、MS10-018 (IE)、MS10-046 (Shell)、および MS10-070 (ASP.NET)) あり、今年一年で実に 265 件の固有の脆弱性 (CVE) に対応したことになります。この 12 月について言うと、今年新たに確認された DLL Preloading の脆弱性 のリモートの攻撃手法に対応したものや、実に巧妙な動きで世間を賑わせていた Stuxnet が対象とした最後の MS の脆弱性 タスク スケジューラ の脆弱性にも対応しました。
・・とここまで書いて、なんだかあまりいい印象を与えていないような気がしたのでちゃんと説明します。この増加傾向は、マイクロソフト製品がより脆弱になっているというのではなく、むしろ製品自体は堅牢になってきているのですが、サポートしている製品の増加や対処すべきシステムの多様化に加え、脆弱性研究技術の進歩により以前は見つかっていなかった新手法が出現してきていることが主な原因と考えられます。
マイクロソフトの努力としては、2000 年では、1 つのセキュリティ情報で対応する CVE の数は概ね 1 件が多かったのですが、今年は 106 件で 265 CVE に対応するというように、1 つのセキュリティ情報でできるだけ多くの CVE に対応するようにしています。それから、前述のように、今年は 4 件の定例外リリースをしており、ゼロデイ (※) が増えている印象もありますが、業界の協力体制を強化した 協調的な脆弱性の報告 の率は 80% と依然として高い率を保っており、ほとんどの脆弱性については世間に広く公開される前に対応ができています。また、Microsoft Active Protections Program (MAPP) という業界の別の協力体制プログラムもあり、主要なセキュリティベンダー (ウイルス対策ソフト、IDS/IPS) に未公開の脆弱性の詳細情報を予め提供して、ジェネリック定義ファイルの作成ができるよう協力しています。これにより、セキュリティ更新が出るまでの間でも、ウイルス対策ソフトの定義ファイルがきちんと更新されていれば悪用を防ぐことができます。
※ゼロデイ攻撃: ソフトウェアの脆弱性に対する更新プログラムが世に公開されるより前に、その脆弱性を悪用した攻撃が実行されたり、悪用するプログラムが出現すること。更新プログラムの公開日を 1 日目と数え、それ以前に攻撃が始まるという意味でゼロデイと呼ばれている。
時代は変わり、攻撃手法も種類も進化を遂げる中、マイクロソフトはお客様保護のため積極的に対応を続けています、というのは引き続きのマイクロソフトのメッセージです。皆さんも、大切な資産を悪用から守るため、できるだけセキュリティ更新の適用は行ってくださいね (大半のホーム ユーザーでは自動更新で透過的にセキュリティ更新が適用されるので安心です)。
いろいろ書きましたが、最後に、より新しい OS / SP は、古い製品より安全になっていることを裏付けるデータを紹介して終わりにしたいと思います。下図は今年 10 月に公開した セキュリティ インテリジェンス レポート (SIR) 第 9 版からの抜粋ですが、MSRT の実行数 1,000 回ごとに駆除されたコンピューター台数を製品バージョンごとに出しています。例えば Windows XP SP3 では 15.6 台のコンピューターで駆除が行われたのに対し、Windows 7 では 3.3 台という具合です。この場合、Windows XP SP3 ユーザーの方が Windows 7 ユーザーより約 4.7 倍多くマルウェアに感染していると言えます (データは正規化されていて、コンピューターの市場台数による影響は受けません)。このデータでは、サーバー/クライアント製品に一貫して、新しい製品はより感染率が低くより安全であることを示していると思います。この SIR はマルウェア (ウイルスやワーム) や、脆弱性、インターネット上の攻撃実態を詳細に分析したレポートで、半期毎に出しています。難しい話が書かれているわけではなく、最新の環境に投資することの正当性を証明するデータが詰まっているので、ご興味があればぜひご一読ください。
引用: SIRv9「2Q10 にオペレーティング システムごとの MSRT の実行数 1,000 回ごとに駆除されたコンピューター数」より *2 本柱があるものは、右が 64 ビット
さてさて…本当に今年はビッグリリースでした。でも、決してマイクロソフト製品が脆弱になった訳ではないこと、より新しい製品は脆弱性も少なくより安全に使用していただけること、マイクロソフトは確実なお客様の保護のためこれからも努めていくことを改めて強調し、締めくくりたいと思います。
まだ 2 週間ありますが、年の瀬には 108 の煩悩を除夜の鐘で振り払い、フレッシュな気持ちで新年を迎えたいですね。