2008 年に発足した Microsoft Active Protections Program (MAPP) というプログラムをご存じでしょうか。MAPP は、マイクロソフトの月例セキュリティ更新プログラムの公開前に、マイクロソフトの脆弱性に関する情報をセキュリティ ソフトウェア プロバイダー、侵入検知システムや侵入防止システムの開発ベンダーなどのパートナーに提供するプログラムです。セキュリティ更新プログラムの公開前に脆弱性を悪用したマルウェアが出現してもお客様を保護できるようにする、という目的で作られました。
2011 年 8 月 2 日 (US 時間) にマイクロソフト セキュリティ レスポンス センター (MSRC) が公開した「Building a Safer More Trusted Internet Through Information Sharing 2011」というレポート (英語) に、3 年目を迎えたこのプログラムがこれまでどのような成果を挙げてきたかということが記載されていますので、ここでも紹介したいと思います。
MAPP 開始以前は、セキュリティ ソフトウェア プロバイダーは一般ユーザーと同じタイミング – セキュリティ更新プログラム情報公開時 (太平洋時間で毎月第二火曜日の朝 10:00) に初めて脆弱性情報を受け取り、そこから自社製品であるウィルス対策ソフトウェアや侵入検知システムなどのセキュリティ ソフトウェアやデバイスの定義ファイルのコーディングを開始していました。当時は、公開されたセキュリティ更新プログラムをリバース エンジニアリングし、どういった脆弱性なのか調査し定義ファイルを作成するまでに約 8 時間を要していました。一方、悪意を持った攻撃者もそれと同じタイミングで脆弱性情報を得て、その脆弱性を突いたマルウェアを作り始めます。熟練 (?) の攻撃者が特定の脆弱性を突いたマルウェアを作り出すのにかかる時間もまた 8 時間と言われているため、毎月、お客様を保護しようというセキュリティ ソフトウェア プロバイダーと、無防備なユーザーを攻撃しようという攻撃者との間でタイム レースが繰り広げられていたのでした。タイミングによっては、セキュリティ更新プログラム公開後数時間の間、更新プログラムを適用していないユーザーはセキュリティ対策ソフトウェアが対応できない脅威に攻撃される可能性がある、という危険な状態が作られていたわけです。
MAPP 開始後は、MAPP メンバーが事前に脆弱性情報および必要情報を入手でき、リバース エンジニアリングの必要がなくなりました。また、MAPP メンバーは、セキュリティ更新プログラム公開と同時に自社のセキュリティ製品の更新ファイルを公開できるようになったため、このようなタイム
レースはなくなり、お客様への保護策は強化されるようになりました。
2009 年には 45 社だった MAPP メンバーも 2011 年 6 月時点で 84 社に増え、また、プログラムそのものも進化してきました。開始当初は単に脆弱性情報の提供に過ぎなかった MAPP ですが、2010 年からはメンバー間の情報交換を密にし、互いのスキルや洞察力を結集するプログラムへと進化しました。マルウェア作成者や攻撃者が執拗さを増し、セキュリティ ソフトウェアに検知されないようにあれこれ工夫を凝らすようになったためです。たとえば、MS10-087 で修正される RTF の脆弱性 (CVE-2010-3333) の例ですが、見つかったマルウェアの分析中に MAPP を通して情報交換が活発になされた結果、攻撃者が検知を避けるために 3 種類の異なる攻撃手法を使っている可能性があることを突き止めました。マイクロソフトは、これらの技術詳細を MAPP パートナーに配布し、保護策の強化に成功したのです。
2010 年 7 月からアドビ社が MAPP に参加したことで MAPP はさらに大きく進化しました。この協業により MAPP パートナーは、マイクロソフト製品だけでなくアドビ製品のセキュリティ
アップデートがリリースされる前にお客様に保護策を提供できるようになりました。脅威がどんどん進化を遂げている近年、業界の企業同士の連携、技術情報の交換は不可欠です。このパートナーシップによって、より多くのユーザーに、より高度なセキュリティ対策が提供できるようになったことは、非常に大きな意味を持っているといえるでしょう。
MAPP に関する詳細情報は、セーフティとセキュリティ センターの「Microsoft Active Protections Program」にも記載されていますので、ぜひご一読ください。
参考資料:
◆「Building a Safer More Trusted Internet Through Information Sharing」 (英語)
ダウンロード ページ: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=26931
◆「Microsoft Active Protections Program」
http://www.microsoft.com/ja-jp/security/msrc/mapp.aspx
◆「Microsoft Active Protections Program」 (英語)
http://www.microsoft.com/security/msrc/collaboration/mapp.aspx