パッチチューズデーがやってきました。今月は特大の月です。Microsoftは17件の新しいセキュリティ情報を公開し、合計64件の脆弱性に対処しました。適用すべきパッチが非常に多いため、IT管理者は各脆弱性の潜在的な影響を理解し、アップデート適用に向けた対策を策定する必要があります。
2010年4月はPatch Tuesdayにとって非常に重要な月でした。セキュリティ情報が11件公開されました。しかし、2010年4月時点では、Microsoftが年間で公開したセキュリティ情報は合計29件でした。今回の17件の公開により、年間のセキュリティ情報は倍増し、2011年に入ってから現在までに34件となりました。今月の17件のセキュリティ情報のうち、9件は「緊急」、残りの8件は「重要」と評価されています。
先週、Microsoftの大規模なPatch Tuesdayに関する記事で指摘したように、アップデートの数は、ほとんどの消費者、そして中小企業にとってさえ、ほとんど無関係です。自動更新を有効にして、夜中に寝ている間にMicrosoftの最新のアップデートをダウンロードしてインストールするように設定している場合、セキュリティ情報の数が2つであろうと22つであろうと、実際には問題ではありません。どちらにしても、朝起きたときには最新のパッチが適用され、おそらく再起動されたシステムが使われているはずです。
しかし、大企業では、IT 管理者がパッチをテストして、ビジネスに不可欠なアプリケーションと競合したり、生産性を阻害する可能性のある問題が発生したりしないことを確認する必要があり、数百、数千、または数万台の PC にわたって展開を管理および調整する必要があるため、話は別です。
nCircleのセキュリティ研究開発担当テクニカルマネージャー、タイラー・レグリー氏は、「今日のセキュリティ情報の一覧を見ると、ただ一言、『圧倒的』という言葉しか思い浮かびません。これらの脆弱性の検出を一度開発するだけで、何千ものシステムにパッチを適用する必要がなくなったのは幸いです。」とコメントしています。
シマンテック・セキュリティ・レスポンスのセキュリティ・インテリジェンス・マネージャー、ジョシュア・タルボット氏は、マイクロソフトが今月、単一のパッチアップデートで30件の脆弱性を修正したという記録を樹立したと指摘しています。MS11-034は、Windowsカーネルモードドライバにおける30件の権限昇格問題に対処します。
「今月最も重要なパッチは、Internet Explorerの累積的なセキュリティアップデートの一部です」とタルボット氏は述べます。「修正された脆弱性の大部分はIE 6、7、8に影響するため、影響を受けるソフトウェアのインストールベースは非常に広範囲に及びます。また、これらはすべてドライブバイダウンロードの問題であり、ユーザーが侵害されたウェブサイトにアクセスするだけで脆弱性が悪用されるという点も、深刻度を高めています。」
nCircle のセキュリティ オペレーション担当ディレクターの Andrew Storms 氏は、Internet Explorer の累積的なセキュリティ更新プログラム (MS11-018) を適用することが非常に重要であることに同意していますが、SMB パッチも同様に緊急であると考えています。
ストームズ氏は、IEのアップデートで修正された脆弱性のうち2つは既にエクスプロイトの標的となっているため、アップデートの適用が不可欠だと説明しています。しかし同時に、SMBの脆弱性のうち少なくとも1つは「ネットワーク対応」であり、世界中のネットワークに執拗に拡散するConfickerのようなワームの作成に利用される可能性があることも強調しています。
ストームズ氏は、「もしどうしても2つのバグのどちらかを選ばなければならないとしたら、まずIEにパッチを適用し、その後すぐにSMBにパッチを適用します。今月はどちらのパッチも遅らせることはできません。」と述べています。
ただし、ネットワーク環境やMicrosoftインフラストラクチャはそれぞれ異なります。これらの脆弱性を悪用する可能性のある攻撃によるリスクと潜在的な影響を判断し、そのリスク分析に基づいてパッチ適用の優先順位を決定するのは、個々のIT管理者およびセキュリティ管理者の責任です。しかし、今月は多くのパッチがリリースされ、その多くは緊急性の高いものなので、時間を無駄にせず、パッチ適用を急いでください。
