マイクロソフト社は12日、2007年度最後となる自動更新機能(「Windows Update」/「Microsoft Update」)によるセキュリティ更新プログラム(以下 修正プログラム)の公開を実施しました。
ここでは、2007年度の修正プログラムについて振り返り、ウイルス動向との関連について注目します。
同社は「信頼できるコンピューティング:Trustworthy Computing」に基づき、2003年11月以降、同社製品のセキュリティホール情報(Security Bulletin)および修正プログラムを、毎月第2火曜日(日本時間で第2水曜日)に定期公開することを約束(* 注釈1)しています。また、2007年6月にはセキュリティ情報の詳細な事前通知を開始しています。
管理者はこうした情報をつうじて、危険性を分析し、修正プログラムの適用計画を検討されていることと思います。
修正プログラムのリリース件数
MS98-001以来付与されてきたセキュリティ情報ID番号によれば、2007年12月現在(MS07-069/942615)までに、606件の修正プログラムが公開されました。
このうち、2007年にリリースされたものは69件です。2006年は78件でした。
![図1 2007年度 マイクロソフト セキュリティ更新プログラムの[深刻度]割合](/wp-content/uploads/2007/12/071214comment01.gif) |
|
|
同社では、問題の危険性に応じて4段階の指標(深刻度:[緊急]/[重要]/[警告]/[注意])を設定しています。(* 注釈2)
|
評価 |
定義 |
|
緊急 (Critical) |
この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。 |
|
重要 (Important) |
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性があります。 |
|
警告 (Moderate) |
既定の構成や脆弱性の悪用が困難であることなどにより、危険性が大幅に緩和される可能性があります。 |
|
注意 (Low) |
この脆弱性の悪用は非常に困難です。または影響はわずかです。 |
2007年度のリリース分において、最も深刻な[緊急]に分類されたものは全体の62%(43件)でした。なお、2006年は64%(49件)です。
修正プログラムのリリース件数の減少と共に、深刻な修正についても減少していると言えます。
修正プログラムとウイルスの相関関係
修正プログラムとウイルスにはどのような関係があるのでしょうか。
日本のトレンドマイクロ サポートセンターに寄せられたウイルス被害件数を修正プログラムのリリース件数グラフにプロットしてみました。
 |
|
|
更に関係を調べるため、被害件数と修正プログラムのリリース件数の相関(類似の度合い)係数について算出してみました。その結果、年々相関関係が弱まっていることが分かりました。
すなわち、修正プログラムのリリース件数は必ずしもウイルス被害件数に影響を及ぼしていないといえるようです。
危険性の高い脆弱性とは
ウイルス被害件数に影響を及ぼしうる脆弱性の要因とは、リリース件数ではないようです。
では、ウイルス被害の事前予防として、注目すべき脆弱性に関するデータとは、一体どんな情報なのでしょうか。
注目されたウイルスによって悪用された脆弱性の傾向を知ることで、高い危険性が予測される脆弱性の共通項について特定できる可能性があります。
危険性分析の精度を上げることにより、修正プログラムの適用計画実施により得られる予防効果を高めることができます。
後編では、本年度TrendLabsが実施した注意喚起情報を元にウイルスが悪用した脆弱性の傾向について報告させていただきます。
注釈1 Microsoft TechNet : 「Revamping the Security Bulletin Release Process」
注釈2 Microsoft TechNet : 「Microsoft Security Response Center マイクロソフト セキュリティ情報の深刻度評価システム」