今年もパッチ火曜日がやって来ました。1月のパッチ火曜日は軽微な内容で、多くのゼロデイ脆弱性が未修正のまま残されましたが、マイクロソフトは2月には12件のセキュリティ情報を公開し、復活を遂げました。
22件もの脆弱性に対処する膨大なパッチは、IT管理者にとって大きな課題です。単に番号順にアップデートを適用するのではなく、IT管理者は、それぞれの脆弱性が自社の環境に及ぼすリスクを理解し、それに応じてアップデートの優先順位を決定し、最も発生確率の高い攻撃を防ぎ、最も重要なシステムを保護する必要があります。
「多くの脆弱性が修正されているのは喜ばしいことですが、このような時期はIT管理者にとって困難な時期になり得ます」と、シマンテック・セキュリティ・レスポンスのセキュリティインテリジェンスマネージャー、ジョシュア・タルボット氏は述べています。「Adobeも本日セキュリティアップデートをリリースし、今後数週間以内にOracleからもJavaのメジャーリリースが予定されていることを考えると、2月は多忙を極めるでしょう。重要なのは優先順位付けです。まずは「重大」な脆弱性をすべて修正し、そこから先へと進めていくのです。」
では、どこから始めればよいでしょうか?2月のセキュリティ情報で知っておくべきことをご紹介します。
nCircle のセキュリティ オペレーション担当ディレクターの Andrew Storms 氏は、次のように説明しています。「Internet Explorer のパッチ (MS11-003) は、12 月に公開されて以来 Microsoft に大きな不安を与えてきたゼロデイ バグの修正が含まれているため、今日、すべての人にとって最優先事項となるはずです。」
マイクロソフトのTrustworthy Computing部門で対応コミュニケーションを担当するグループマネージャー、ジェリー・ブライアント氏に話を聞いた。ブライアント氏は、マイクロソフトはこの脆弱性を突く攻撃を綿密に監視していたものの、攻撃の試みはどれも大きな成功を収めなかったため、アウトオブバンドアップデートを提供する必要はないと説明した。
次に、IT管理者はMS11-006を確認する必要があります。これは、Windows Shellグラフィックプロセッサの脆弱性に対処する、別の緊急セキュリティ情報です。この脆弱性により、ユーザーが細工されたサムネイル画像を表示すると、リモートコード実行が発生する可能性があります。
3番目の優先度は、残りの「緊急」セキュリティ情報であるMS11-007です。QualysのCTOであるWolfgang Kandek氏は、ブログ記事でこの問題について説明しています。「MS11-007は今月のラインナップの中で3番目の「緊急」な脆弱性であり、OpenTypeライブラリの欠陥に対処しています。Internet ExplorerではOpenTypeが使用されていないため、この重要な攻撃ベクトルは遮断され、より複雑な配信スキーム(例えば、MS11-006への攻撃と同様に、圧縮フォルダ経由など)の使用を余儀なくされます。」
最後に、本日のMicrosoftからの最大のニュースは、パッチチューズデーに関するものではないかもしれません。Microsoftは、WindowsのAutoRunの動作に影響を与えるアップデートを自動的に配信するようになったことも発表しました。このアップデートはかなり前から利用可能でしたが、今日まではダウンロードは任意でした。
nCircleのセキュリティ研究・開発担当テクニカルマネージャー、タイラー・レグリー氏は次のように述べています。「脆弱性以外にも、USBメモリの自動実行を無効化した機能は、ユーザーにとってセキュリティを大幅に向上させるものだと思います。マルウェアは自動実行を介して拡散することが多く、最近では多くのコンシューマー向け製品にマルウェアが紛れ込んでいるケースが見受けられます。そのため、この追加の保護機能はエンドユーザーにとって有益であることは間違いありません。マイクロソフトがこのセキュリティ以外のアップデートをすべてのコンシューマー向けに提供していることを嬉しく思います。」
