IT管理者や情報セキュリティ専門家にとって、今日は忙しい一日です。今日はMicrosoftの4月のパッチ火曜日であるだけでなく、Adobeの四半期セキュリティアップデートの日でもあります。今日修正される脆弱性は合計40件で、その多くは「緊急」と評価されており、システムがリモートからの攻撃にさらされる可能性があります。
マイクロソフトのパッチ火曜日
マイクロソフトの広報担当者は、次のような内容のメールを送付しました。「本日、マイクロソフトは月例セキュリティ更新サイクルの一環として、25件の脆弱性に対処する11件のセキュリティ情報を公開しました。そのうち5件は「緊急」、5件は「重要」、1件は「中」と評価されています。今月のリリースは、Windows、Microsoft Office、Microsoft Exchangeに影響します。さらに、悪意のあるソフトウェアの削除ツール(MSRT)が更新され、Win32/Maganiaも対象となりました。」
QualysのCTOであるWolfgang Kandek氏は、自身のブログ記事で次のように述べています。「Microsoftの4月のパッチリリースには、25件の脆弱性をカバーする11件のセキュリティ情報が含まれています。これらのセキュリティ情報は、幅広いオペレーティングシステムとソフトウェアパッケージに対応しており、インストールベースのインベントリを適切に管理しているIT管理者は、どのマシンにパッチが必要なのかをより簡単に評価できるようになります。」
「Microsoft WinVerifyTrust署名検証における重大な脆弱性は、ソーシャルエンジニアリングの攻撃を著しく強化するために悪用される可能性があります」と、シマンテック・セキュリティ・レスポンスのセキュリティインテリジェンスマネージャー、ジョシュア・タルボット氏は電子メールでの声明で述べています。「標的型攻撃は頻繁に行われており、ソーシャルエンジニアリングが大きな役割を果たしていることから、この脆弱性を狙ったエクスプロイトが開発されることは避けられません。」
タルボット氏は続けて、「この脆弱性により、攻撃者はWindowsを欺き、悪意のあるプログラムが正規のベンダーによって作成されたと誤認させることができます。ユーザーがアプリケーションのダウンロードを開始し、Windowsがその作成者を通知する通知を目にした場合、それが見慣れないソースからのものであれば、ダウンロードを続行する前に二度考えてしまう可能性があります。この脆弱性を悪用することで、攻撃者はWindowsに対し、そのアプリケーションが攻撃者が偽装した任意のベンダーによって作成されたとユーザーに報告させることが可能です」と述べました。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、次のように分析しています。「映画が増えればマルウェアも増える。インターネットではまさにそれが待ち受けている状況です。マイクロソフトは今月、Windows Media PlayerとDirect Showの重大なバグを修正します。どちらのバグもオンライン動画マルウェアの温床となります。これらの修正とAppleが最近リリースしたQuicktimeのパッチを合わせると、攻撃者が動画を通じて多くの被害者を見つけていることは明らかです。」
nCircleのタイラー・レグリー氏は、これらのパッチから得られるより大きなメッセージもあると指摘しています。「熱心なWindows XPユーザーとして、Windows 7への移行をますます検討しています。セキュリティが強化されたWindows 7は理にかなっています。上位2つの脆弱性(MS10-027とMS10-026)を見ると、私のWindows XPシステムは両方の脆弱性を抱えていますが、Windows 7のラップトップはどちらの脆弱性も受けていません。新しいオペレーティングシステムは理にかなっているのです。」
Adobe 四半期アップデート
25件の脆弱性を修正する11件のセキュリティ情報だけでは不十分であるかのように、IT管理者はAdobeが本日リリースした重要なアップデートにも対処する必要があります。nCircleのStorms氏は、「15件のバグはすべてリモートコード実行に悪用される可能性があります。Adobe PDFファイルを悪用する攻撃が増加していることを考えると、すべてのユーザーに直ちにアップグレードすることを強くお勧めします」と指摘しています。
ストームズ氏はさらに、「マイクロソフトのパッチ適用プロセスとは対照的に、アドビのセキュリティ情報には詳細が欠けており、特に潜在的な回避策に関する重要な情報が不足しています。テストサイクルが長い企業の場合、アップデートの展開に数週間、あるいは数ヶ月かかることもあります。回避策に関する情報がないまま、アドビは企業顧客を脆弱な状態に置き、セキュリティチームはあらゆる場所で不満と苛立ちを募らせています」と付け加えました。
Webroot の主任脅威調査アナリストである Andrew Brandt 氏は、「さらに、同じく PDF を読み取る Foxit Reader は実際にはより脆弱であることを認識しておく必要があります」と警告しています。
Adobeが過去数ヶ月にわたりベータテストを行ってきた新しいアップデートシステムを導入したことも注目に値します。ユーザーはAdobeソフトウェアのアップデートを自動的にインストールするように設定できるようになり、ユーザーの介入なしにセキュリティパッチを適用できるようになりました。
オラクルを忘れないで
待ってください、まだあります!パッチデーの盛り上がりから取り残されたくないOracleも、MicrosoftとAdobeを合わせたよりも多くのアップデートを自社でリリースしました。
ただし、少しだけ朗報もあります。公開された脆弱性の全てに影響を受ける組織はごくわずかです。QualysのKandek氏は、「これはMicrosoftにとって大きなリリースであり、幅広いソフトウェアに対応しています。IT管理者は、含まれるソフトウェアパッケージと構成の全てを環境にインストールしていない可能性が高いため、11件のセキュリティ情報の一部のみをインストールすれば済むでしょう」と指摘しています。
同じ論理はOracleにも当てはまります。Adobeにも、それほどではないものの、Adobe Readerはかなり普及していますが。楽しんでください!
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。彼のTwitterアカウントは@Tony_BradleyPCWです。Facebookページをフォローするか、[email protected]までメールでご連絡ください 。
