本日は2010年最後のMicrosoft Patch Tuesdayです。セキュリティ情報に関してはMicrosoftにとって忙しい一年でしたが、12月も例外ではなく、過去最多となる17件のセキュリティ情報を公開して年を締めくくりました。多くのIT管理者が2010年に別れを告げ、年末年始の休暇に入るまであと1週間ほどとなりました。そのため、最新のパッチを理解し、優先順位を付けて迅速に適用することが重要です。
シマンテック・セキュリティ・レスポンスのセキュリティ・インテリジェンス・マネージャー、ジョシュア・タルボット氏が、2010年のマイクロソフトのマイルストーンを解説します。「17件のセキュリティ情報は、1ヶ月あたりのセキュリティ情報としては過去最多です。また、マイクロソフトは2010年に106件のセキュリティ情報をリリースしました。これは、Patch Tuesdayプログラム開始以来初めて100件を超えたことになります。これに次ぐのは、2006年と2008年の78件です。さらに、シマンテックの集計によると、マイクロソフトは1年間で修正された脆弱性の数を261件と、過去最多を大きく上回りました。これまでの記録は、昨年記録された170件でした。」
2010年は、見方によっては、Microsoftソフトウェアの欠陥や脆弱性がいかに深刻であるかを浮き彫りにする年となるか、あるいはMicrosoftが脆弱性の特定と解決にいかに成功してきたかを示す年となるか、どちらかでしょう。私としては、ソフトウェア自体の欠陥は前年と比べて増加しているわけではなく、むしろ減少している可能性もあるものの、Microsoftは脆弱性が発見された際に、より迅速に対応できるようになったという見方に賛同します。
マイクロソフトの広報担当者からガイダンスが送られてきました。「マイクロソフトは、お客様のコンピューターへの犯罪的攻撃を防ぐために、すべての更新プログラムをできるだけ早くテストし、適用することを推奨しています。」
Microsoftは、IT管理者がリスクを評価し、更新プログラムの優先順位を決定するのに役立つ「重大度および悪用可能性指標(Severity and Exploitability Index)」と「展開優先度ガイド(Deployment Priority Guide)」を提供しています。このガイダンスの一環として、Microsoftは、2つの「緊急」セキュリティ情報(Internet Explorerの脆弱性に対処するセキュリティ情報MS10-090と、Windowsオペレーティングシステムの欠陥に関連するセキュリティ情報MS10-091)に優先的に注意を払うよう強調しています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏も、IEアップデートの緊急性に同意しています。「今月最も重要なバグは、11月初旬に発見された未解決のゼロデイ脆弱性の修正を含むIEアップデートであることは明らかです。この時期はオンラインショッピングをする人が増えるため、誰もがブラウザにパッチを適用することが重要です。」
「多くのパッチは『重要』とみなされており、『緊急』とマークされた脆弱性はごくわずかです」と、マカフィー・ラボのセキュリティ調査・コミュニケーション担当ディレクター、デイブ・マーカス氏は述べています。「パッチ火曜日の大半は記録的な数のアップデートを提供しているようです。AdobeやOracleなどの他のアプリケーションも同様にアップデート数が増加しています。脅威の状況は明らかに拡大しており、組織がパッチ適用を遅らせれば、サイバー犯罪者にデータを悪用する機会を与えてしまうことになります。」
Webrootの広報担当者は私にメールで、IT管理者は休暇に入る前にできる限り迅速にパッチをテストし、適用するよう徹底するよう強調しました。「マルウェアから完全に保護された状態を維持するためには、できるだけ早くパッチを適用する必要があります。パッチがリリースされると、エクスプロイトキットの作成者はすぐに新しいエクスプロイトを作成するため、新しいエクスプロイトがネットに流れ込む前に修正プログラムを適用するのは、時間との戦いになるでしょう。」
Webrootはまた、ほとんどのパッチは完了に再起動が必要であり、ユーザーが休暇中に不在中にシステムを更新すると、デスクトップで開いているファイルのデータが失われるリスクがあると指摘しています。Webrootは、「オフィスを離れる場合は、仕事用のPCの電源を完全に切るか、少なくともすべての作業を保存して開いているアプリを閉じることをお勧めします。そうすれば、Windows Updateがパッチのインストール中にPCを強制的に再起動しようとしても、何も失われません」と述べています。
