MS、予告していたセキュリティ情報4件を撤回--1月の月例パッチ

　Microsoftは、1月に公開される月例パッチのリストから4件のセキュリティ情報を削除した。セキュリティ更新のリリースを遅らせた理由は明らかにしていない。

　米国時間1月5日に更新された同社のウェブサイトによると、1月9日に公開されるセキュリティ情報は、当初告知されていた8件ではなく4件になる予定であるという。

　同社の発表によると、3件のセキュリティ情報にはOffice用のパッチが含まれ、そのうち少なくとも1件が「緊急」に分類されるという。緊急の脆弱性とは、通常、ユーザーがちょっとした操作をするだけで、あるいはまったく操作をせずとも、ワームの感染拡大やWindowsシステムの完全な乗っ取りを許してしまうものをいう。もう1件のセキュリティ情報はWindowsを対象としたもので、これも緊急に分類されている。

　1月4日には、Microsoftは今週公開する月例パッチリリースとして8件のセキュリティ情報を公開すると述べていた。

　Windowsの情報2件、WindowsとVisual Studioの情報1件、WindowsとOfficeの情報1件を撤回したようである。撤回されたセキュリティ情報は将来の月例パッチで公開される見通し。

　ワシントン州レドモンドに本拠を置くMicrosoftは、リリース予定日のほんの数日前にセキュリティ情報を撤回したことについて何の説明もしなかった。Microsoftの担当者は電子メールによる声明で「セキュリティ更新のリリースに影響を与える要素は数多く、すべての脆弱性がそれぞれ違った問題をはらんでいる」と述べた。

　同社は、パッチによってどの脆弱性が修正されるのかを前もって明らかにしていない。その結果、どのセキュリティホールが未修正のまま残るのかわからない。eEye Digital Securityは同社が運営するZero-Day Trackerというウェブサイトで、Microsoftが修正していないゼロデイ脆弱性を、Officeに関するものとWindowsに関するもの各4件、合計8件をリストアップしている。

　ゼロデイ脆弱性とは、パッチが利用可能になる前に公開されたセキュリティホールのこと。場合によっては、悪用コードが出回ったり、サイバー攻撃に利用されたりすることもある。ただし、多くの場合は、問題が公になる前にMicrosoftのパッチが脆弱性を解決している。

　Microsoftは時折、月例パッチの事前告知と違った対応をとることがある。たとえば先月、同社は発表よりも1件多くセキュリティ情報を公開した。品質の問題を理由に発表予定のセキュリティ情報を撤回することもあったが、4件のセキュリティ情報を撤回したのは前例のない事態である。