本ブログは、Anatomy of a Security Update の抄訳版です。最新の情報は原文を参照してください。
マイクロソフト セキュリティ レスポンス センターは、防御コミュニティの一部であり、お客様と会社のセキュリティ対応の最前線にいます。マイクロソフトの使命は、セキュリティとプライバシーに関連する、現在そしてこれからの新たな脅威からお客様とマイクロソフトを保護することです。脅威を監視し、組織が攻撃に対する防御、特定、修復を支援する最新のツールとガイダンスを提供します。
私たちは、よく尋ねられます。
なぜ、マイクロソフトはセキュリティ更新プログラムをより迅速にリリースできないのか?
ゼロデイの脆弱性が特定された直後にセキュリティ更新プログラムをリリースできないのはなぜか?
なぜ協調的な脆弱性の公開に頼っているのですか?
これらは素晴らしい質問です。
セキュリティ更新プログラムのライフサイクル
「セキュリティ更新プログラムの開発は、品質と適時性の間の微妙なバランスです。お客様の混乱を最小限に抑え、お客様の保護を最大化することを検討する必要があります。~Aanchal Gupta, Corporate Vice President, Microsoft Security Response Center
すべての脆弱性は異なり、それぞれが解決する必要がある独自の課題があります。問題の発見からセキュリティ更新プログラムのリリースまでの時間の長さに影響する多くの要因があります。私たちは更新プログラムがリリースされたときのお客様における実際の影響を考慮する必要があります。これは、当社の製品およびサービスにわたる様々なお客様の環境と、脆弱性が存在する可能性のあるサポートされているプラットフォームの数を考慮することを意味します。
アップデートを開発するときは、広範なプロセスに従います。
脆弱性が発見されると、直ちにフォレンジック調査を開始します。ここでは、研究者が報告または公開した可能性のある内容を調べ、わたしたちのコードベースの理解と一致させます。
これを実行した後、次のステップは亜種分析です。これは、この脆弱性の亜種を検索して調査することを意味します。研究者、攻撃者、および防御者は、この脆弱性に関するコードと機能を調べるのが一般的です。異なる目的を持ちながらも、共通の目標の 1 つは、脆弱性の要因となる可能性のある追加機能 (逆にリスクと見なされる) があるかどうかを理解することです。亜種分析により、脆弱性および類似のケースが完全に対処されているという信頼度が高まります。マイクロソフトのセキュリティアップデートには、多くの場合、亜種修正が含まれています。
同時に、マイクロソフトは幅広いポートフォリオ全体のサービスへの影響を検査しています。リリースが近づくにつれて、マイクロソフトは、Microsoft Active Protections Program (MAPP) を通じて、信頼できるセキュリティ パートナーに検出ガイダンスを提供します。同時に、SUVP プログラムを通じて、実際のテストのために、外部のパートナーに最新情報を提供しています。エンジニアリングチームがアップデートを開発したら、厳格なテストを経て、修正が意図しない副作用を引き起こさないことをより正確に保証する必要があります。更新プログラムは、リリースする前に必要な品質基準を満たしている必要があります。更新プログラムがこれらの品質チェックに合格した後にのみ、予定されている火曜日の更新プログラム プロセスの一部として、またはアウトオブバンド リリース (通常の更新プログラムのリリース プロセス外) にリリースできます。一方、CVE ドキュメントも準備して、脆弱性に関するお客様へのガイダンスを提供し、よく寄せられる質問への回答、既存の軽減策と回避策、更新プログラムへのリンク、および付属のリリース ノートを提供します。この情報は、『セキュリティ更新プログラム ガイド』に掲載されています。
上記の手順には時間がかかりますが、効果的な対応には不可欠です。
「ゼロデイ」の脆弱性とは何ですか ?
まず、ゼロデイの脆弱性は、公式のパッチやセキュリティ更新プログラムがリリースされていないソフトウェアの欠陥です。ソフトウェア ベンダーはこの脆弱性を認識している場合と認識していない場合があります。ゼロデイの脆弱性は深刻度が高いことが多く、積極的に悪用される可能性があります。
すべてのゼロデイの脆弱性が攻撃につながりますか ?
いいえ。ゼロデイ攻撃は、多くの場合、深刻度の高いゼロデイの脆弱性を利用しますが、脆弱性の公開が攻撃につながるという意味ではありません。攻撃の複雑さ、利用可能なインストールベース、および悪用の信頼性は、攻撃者が目標を達成するためにゼロデイ脆弱性を使用するすべての要素に含まれます。
協調的な脆弱性の公開
まず第一に、ゼロデイの脆弱性や攻撃のリスクを軽減するために、私たちは協調的な脆弱性公開(CVD)を信じています。これは、セキュリティの脆弱性に対処するための実績のある業界のベストプラクティスです。協調的な脆弱性公開の目的は、お客様がご自身を守れるよう、タイムリーかつ一貫したガイダンスをお客様に提供することです。マイクロソフト セキュリティ レスポンス センターは、セキュリティ研究者やベンダーと協力して、脆弱性公開のレポートを協調しながら管理します。脆弱性コラボレーションとは、攻撃者の攻撃機会を制限することで、問題が公開される前に顧客とそのデータをサイバー攻撃からより適切に保護することです。ゼロデイなどの脆弱性が無責任に公開されると、お客様は環境内の脆弱性を検出して修復する機会なしに侵害のリスクにさらされます。協調的な脆弱性の公開に対するマイクロソフトのアプローチでは、研究者がマイクロソフトのハードウェア、ソフトウェア、およびサービスで新たに発見された脆弱性を直接公開するよう要求しています。研究者は、第三者が詳細な脆弱性情報を一般に公開する前に、完全にテストされたアップデート、回避策、またはその他の是正措置を診断し、提供する機会をマイクロソフトに提供します。更新プログラムのリリース時に、マイクロソフトは、研究者の調査結果と問題を個人的に報告した研究者を認識します。脆弱性が当社の報奨金プログラムの範囲内にある場合、研究者はプログラムの説明に従って報奨金を受け取り、脆弱性を修正したときにその貢献が公に認められることがあります。
攻撃が広く進行中であり、マイクロソフトがまだ更新プログラムに取り組んでいる場合、研究者とマイクロソフトは可能な限り緊密に協力して、顧客を保護するために脆弱性を早期に公開します。その目的は、顧客が自分自身を守るのを助けるためにタイムリーで一貫したガイダンスを提供することです。
お客様向けのベスト プラクティス
お客様には、システムができるだけ最新かつ最新であることを確認することをお勧めします。
「あなたの技術インフラとセキュリティシステムは、『免疫システム』のようなものです。公開されたゼロデイの更新がない場合でも、システムを最新の状態に保つことは、システム全体を強力に保つのに役立ちます。~Aanchal Gupta, Corporate Vice President, Microsoft Security Response Center
攻撃者は、被害者の環境の弱点を利用します。ゼロデイ脆弱性は、悪用されるこれらの弱点のごく一部です。最近対処された脆弱性、時にははるかに古い脆弱性が顧客を攻撃するために日常的に使用されています。場合によっては、攻撃者は脆弱性を連鎖させて侵害を成功させる必要があります。連鎖的な攻撃には、ゼロデイの脆弱性と対処済み脆弱性の両方が含まれる場合があります。悪意のあるアクターがターゲットの被害者を特定し、その被害者が更新をしていない場合、脅威アクターはこの脆弱性を悪用できる可能性があります。一方、更新されたシステムを持つ被害者は、攻撃者が悪意のある手法に対処できるようになる前に、この脆弱性を軽減した可能性があります。
セキュリティ更新プログラムのリリースは、毎月第 2 火曜日の午前 10 時 (太平洋標準時) の “Update Tuesday” に予定されています。IT 担当者は、それに応じて展開スケジュールを計画し、ユーザーが最新の更新プログラムをインストールすることをお勧めします。この計画されたリズムは、IT 管理者が更新プログラムを計画し、環境に効率的に展開するのに役立ちます。このリリースの一部として、マイクロソフトは Microsoft セキュリティ更新プログラム ガイドのサポート ドキュメントをリリースします。これには、割り当てられた重大度、業界標準の CVSS スコア、およびセキュリティ更新プログラムのタイムリーな展開に関するリスクベースの意思決定を支援する悪用可能性インデックスが含まれます。利用可能な場合は、更新プログラムのテストと展開中にお客様が利用できる軽減手順または回避策が一覧表示されます。
Microsoft 365 Defender の場合、お客様は Defender ポータルで [セキュリティの推奨事項] ページにある脅威と脆弱性の管理機能に移動できます。この機能は、お客様の環境内の脆弱なデバイスを表示し、Microsoft セキュリティ更新プログラム ガイドでも公開されているコンテンツを表示します。多くの場合、ゼロデイ攻撃が発生しているときは、Threat Analytics の記事を確認して、既知の攻撃と環境への影響に関する追加のコンテキストを提供することもできます。
場合によっては、脅威アクターはターゲットとなる被害者を特定し、その被害者に悪意のあるファイルを開かせるか、悪意のあるリンクをクリックして資格情報を入力するように説得してから、脆弱性を悪用することがあります。オンライン上で安全な行動を取ることで、ゼロデイ攻撃による影響を低くすることが可能です。一部の人にとっては当たり前かもしれませんが、アプリ、ゲーム、ソフトウェアのダウンロードは、主要なストアから行い、評価の高いもののみを利用することで、だまされてマルウェアをダウンロードするリスクを減らすことを忘れないでください。
信頼できる人からのコンテンツのみを受け入れてください。予期していなかった添付ファイルやリンクを受け取った場合、またはコンテンツと送信者が通常とは異なる場合は、リスクを冒さず、コンテンツに関与する前に送信者に確認してください。