時は経つのが早い。また一ヶ月が過ぎ、またパッチチューズデーが近づいてきた。マイクロソフトは2月に過去最多タイとなる13件のセキュリティ情報を配信する。1月は比較的静かだったが、パッチチューズデーにはセキュリティ情報が1件、そして月半ばにはInternet Explorerのゼロデイ脆弱性を修正するアウトオブバンドアップデートが1件リリースされた。この脆弱性は、Googleをはじめとする中国企業への攻撃に利用された。
QualysのCTO、ヴォルフガング・カンデック氏によると、このアウトオブバンドのセキュリティ情報のおかげで、2月は月間セキュリティ情報公開件数の最多記録更新を免れたという。「マイクロソフトの2010年2月のパッチリリースは、過去2年間で最大の規模となる予定で、14件のセキュリティ情報で34件の脆弱性を修正する予定でした。しかし、Google/CNのInternet Explorerのゼロデイ脆弱性により、マイクロソフトは計画していたIEセキュリティ情報のテストを加速させ、1月に早期リリースせざるを得なくなりました。その結果、2月のリリースでは26件の脆弱性を修正する13件のセキュリティ情報となり、これはパッチチューズデーの中でも最大級の規模となりました。」
Kandek氏は次のように説明しています。「Windowsオペレーティングシステムファミリには5つの重大な脆弱性があり、新しいバージョンであるWindows 7とWindows 2008 R2が影響を受けるのはそのうち3つだけです。Windows 7とWindows 2008 R2では、TCP/IPスタックとURI処理の書き換えにより、これらのコアOS機能の実装が改善されました。パッチ適用リストの最上位は、MS10-006 SMBクライアントとMS10-013 DirectShowで、これらはすべてのバージョンのWindowsに影響を与え、悪用可能性指数は低いです。次に、MS10-007 Shell URI処理(Windows 2000、XP、2003で重大な脆弱性)、そしてMS10-008(すべてのプラットフォームに適用されるActiveX Killbit設定の更新)です。」
「今月の私のリストのトップはSMBサーバーのパス名オーバーフロー脆弱性です」と、シマンテック・セキュリティ・レスポンスのセキュリティインテリジェンスマネージャー、ジョシュア・タルボット氏は述べています。「サーバー側の脆弱性はもはやそれほど一般的ではありませんが、発見されれば攻撃者にとって金の卵となります。今回の脆弱性の場合、攻撃者がゲストアカウントが設定されている脆弱なリモートサーバーを見つけることができれば、攻撃者はそのマシン、そして場合によってはローカルネットワーク全体にアクセスできてしまいます。しかも、ユーザーの介入は一切必要ありません。」
黄金のガチョウはさておき、nCircleの主任研究エンジニアであるタイラー・レグリー氏は、異なる視点からメールでコメントを寄せました。「エンドユーザーにとって、懸念されるのは間違いなくクライアント側のソフトウェアです。本日の勧告によると、Microsoft Office、Windows Media Player、さらにはMicrosoft Paintといったツールが、エンドユーザーのほとんどが使用しているものと思われます。繰り返しになりますが、パッチ適用は必須です。すべてのユーザーは、PCの自動更新を実行し、ソフトウェアを可能な限り最新の状態に保つ必要があります。」
nCircleのセキュリティ担当ディレクター、アンドリュー・ストームズ氏も、レグリー氏のMS10-0013に関する懸念に同調した。「すべてのITセキュリティチームにとって、これまでで最も重要な脆弱性は、Microsoft Media Playerの脆弱性であるMS10-0013です。この脆弱性は、ドライブバイアタック(不正アクセス)に利用され、無防備な被害者を感染させる可能性があります。今日のインターネットにおいて、人々を最も刺激するのはメディアです。この脆弱性を悪用すれば、実際にはマルウェアへの入り口となる動画を視聴するようユーザーを誘導することが極めて容易になります。」
マイクロソフトのシニアセキュリティコミュニケーションマネージャーであるジェリー・ブライアント氏は、「いつものように、すべてのセキュリティ更新プログラムをできるだけ早く適用することをお勧めします。今月公開されたセキュリティ情報のうち、MS10-006、MS10-007、MS10-008、およびMS10-013は、深刻度が「緊急」、Exploitability Index(悪用可能性指数)が1(「一貫した悪用コードが存在する可能性が高い」)であるため、優先的に適用する必要があります。」と述べています。
ブライアント氏はIT管理者向けのガイダンスもいくつか追加しました。「Microsoft Security Response Center (MSRC) のブログには追加の導入ガイダンスが掲載されており、Microsoft Exploitability Index には、今回のリリースで対処されたすべての脆弱性の悪用可能性評価が含まれています。」
タイラー・レグリー氏は、IT管理者がエンドユーザーを教育するための追加ガイダンスを提供しました。「ユーザーの意識は非常に重要です。知らない人から送られてきた添付ファイルは開かないでください。さらに良いのは、たとえ知り合いであっても、添付ファイルを期待していなかった場合は開かないこと。相手に電話して、自分に送るつもりだったのかどうか確認することです。この30秒の電話で、多くの苦労や悲しみを回避できるかもしれません。これは、中小企業からフォーチュン500に名を連ねる大企業まで、コンピュータの利用レベルを問わず重要です。家庭でも同様に重要です。何をクリックしているのかをよく理解しておきましょう。」
どう考えても、2 月はセキュリティ情報の公開が忙しい月であり、悪意のある人物が一連の新たな欠陥や脆弱性を悪用する方法を見つけ出す前に、あらゆる規模の組織が、必要なパッチと更新をすべて適用する競争が始まっています。
Tony Bradley は@Tony_BradleyPCWとしてツイートしており、彼のFacebook ページで連絡を取ることもできます。
