本日はマイクロソフトの月例パッチ火曜日です。予想通り、10月は1ヶ月あたりのセキュリティ情報公開件数において新記録を樹立しました。IT管理者は、これまで以上にリスクを理解し、各種パッチの優先順位を決定し、大量のアップデートを効果的に管理し、脆弱なシステムを可能な限り効率的に保護する必要があります。また、今月は、レガシーソフトウェアのセキュリティが本質的に低いことを改めて示す結果となりました。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、「マイクロソフトは本日、16件のセキュリティ情報と49件の個別のバグを含む、史上最大のパッチをリリースしました。2010年には、セキュリティ情報リリース数が3桁に達する可能性が十分にあります。本日のパッチにより、今年は既に86件のセキュリティ情報がリリースされています。今後2ヶ月でさらに14件のセキュリティ情報がリリースされる可能性は十分にあります。」と述べています。
ストームズ氏はさらに、「今月は、リリースの優先順位付けがこれまで以上に重要です。Internet Explorerのセキュリティ情報とEmbedded OpenTypeのバグ修正は、どちらも危険なドライブバイ攻撃に利用される可能性があるため、すべての人にとって最優先事項となるべきです。消費者と企業のエンタープライズチームは、これらのパッチができるだけ早くインストールされるようにする必要があります。」と付け加えました。
マカフィー脅威インテリジェンスサービスのマネージャー、ジェームズ・ウォルター氏は、「この件数は、様々なソフトウェアベンダーに見られる傾向を示しています。脆弱性への意識が高まるにつれて、パッチの数も増加しています」と指摘しています。
Shavlik Technologiesのデータおよびセキュリティチームリーダーであるジェイソン・ミラー氏は、セキュリティ情報の急増についてより詳細な説明をしています。「これにはいくつかの要因が関係しています。まず、マイクロソフトはパッチ適用の先駆者であり、長年にわたりプロセスを改良し、今日の成熟したパッチ適用プロセスを開発してきました。次に、マイクロソフトは協調的脆弱性開示(CVD)プログラムを通じて、セキュリティ研究者とこれまで以上に緊密に連携しています。」
ミラー氏は続けて、「研究者と協力することで、マイクロソフトは発見された脆弱性に対する修正プログラムのリリースまでの期間を短縮しています。これは多くの人が求めていた重要な要素であり、セキュリティ情報の増加もそれほど驚くべきことではありません」と述べました。
シマンテック・セキュリティ・レスポンスのセキュリティインテリジェンスマネージャー、ジョシュア・タルボット氏がこの分析を提供しました。「今月最も注目すべき点は、リモートコード実行を可能にする脆弱性の数でしょう。私たちの調査によると、35件の問題がこのカテゴリーに該当します。これらのバグにより、攻撃者は脆弱なマシン上で任意のコマンドを実行できる可能性があります。」
タルボット氏はさらに、「Stuxnet関連の残り2つのゼロデイ脆弱性のうち1つも本日修正されました。StuxnetはWin32キーボードレイアウトの脆弱性を利用して、感染したコンピュータシステムで管理者権限を取得します。この機能により、標的のシステムにおいて、権限不足によって脅威の悪意ある動作がブロックされることがなくなります」と述べました。
消費者はWindowsの自動更新機能を使って必要なパッチを確認し、適用するだけで済むはずですが、IT管理者にとってはそう簡単ではありません。ソフトウェアアップデートは、バグがないか、他のアプリケーションの機能に支障をきたさないか、テストと検証が必要です。これほど多くのアップデートに一度に対処する必要があるため、IT管理者はMicrosoftが提供する重大度と悪用可能性指標を確認し、重要なシステムへの露出度とリスクに基づいて情報を適用し、パッチ適用のための論理的なアプローチを策定することが不可欠です。
Webrootの主任脅威研究者であるアンドリュー・ブラント氏は、「いくつかのパッチは、Windows 7ユーザーに影響を与えるセキュリティ問題に対処しています。これはWindows 7のセキュリティに対する評価を低下させるものではなく、むしろ歓迎すべき強化点です。この点では、今のところ善意のユーザーが悪意のあるユーザーよりも優位に立っているように見えます」と述べています。
nCircleのタイラー・レギュリー氏が指摘するように、より大きな問題は、企業がアップグレードに注力し、より優れた保護機能とセキュリティ制御を備えた新しいOSやアプリケーションに移行する必要性が改めて浮き彫りになっていることです。「今月の最も重要なメッセージは『アップグレード』です。今月は、まだOffice XPをご利用の皆様にとって警鐘となる月です。Office XPのみに影響を与える脆弱性の数が、新しいバージョン、例えばCVEが1件しかないOffice 2010へのアップグレード時期が来ていることを明確に示しています。」
