皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。
概要 2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。
-
85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085)
-
341 件の一意の脆弱性 (CVE) を対処
-
定例外のリリースとして以下の 2 つを公開
- 5 月に MS14-021 (Internet Explorer)
- 11 月に MS14-068 (Kerberos)
月 別の傾向
セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。
2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は 7 件だったことから、標的型攻撃での未知の脆弱性の悪用が、年々増えているように感じます。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/2014_bulletin_summary_1.png)
図 1: 2014 年の月別セキュリティ情報公開数
製品の傾向 次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2014 年は、過去と比較しても各製品タイプでセキュリティ情報が減りました。そして、2012 年以降、Windows の全体に占める割合が、半数を割っていることが確認できますが、その他大きな特徴は見られませんでした。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/2014_bulletin_summary_2.png)
図 2: 製品タイプ別影響を受けるソフトウェア傾向
脆弱性の傾向 最後に、脆弱性の傾向を見てみましょう。まず、製品別の脆弱性の対処数の割合 (図 3) ですが、Internet Explorer の脆弱性対処の割合が 71% を占めていました。昨年も Internet Explorer の割合が一番多かったのですが、それでも 36% でしたので、今年は、Internet Explorer の脆弱性が目立った年といえます。これは、昨今の攻撃が、ブラウーー経由で行われることが多いことから、ブラウザーの脆弱性が注目されているためと考えられます。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/2014_bulletin_summary_3.png)
図 3: 製品別脆弱性対処数の割合
そして、対処された脆弱性の影響 (図 4) を見ると、約 75% が「リモートでコードが実行される」脆弱性でした。なお、「セキュリティ機能のバイパス」の脆弱性は、16 件と全体の割合からすると約 5 % と少ないですが、2013 年は 4 件、2012 年は 3 件でしたので、増加傾向にあります。これは、Windows XP のサポートが終了し、Windows Vista 以降を利用するユーザーが増えていること、そして、Windows Vista 以降を攻撃するには、セキュリティ機能である “アドレス空間レイアウトのランダム化” (ASLR) をバイパスすることが有効な攻撃手段であることから、注目されているためと考えられます。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/2014_bulletin_summary_4.png)
図 4: 対処された脆弱性の影響
以上、数値を中心とした簡単な傾向のご紹介でした。
コンピューターのセキュリティ対策の基本の一つである「セキュリティ更新プログラムのインストール」はとても重要です。これから年末年始の休暇もありますので、自動更新などのセキュリティ設定の見直しや、すべてのソフトウェア (マイクロソフト製品以外も含む) を最新の状態にするために「セキュリティ更新プログラムのインストール」を行うなど、家の大掃除と一緒にコンピューターの大掃除 (メインテナンス) も併せて行ってくださいね。