マイクロソフトのIEの臨時パッチに対する驚くべき対応

　Eric Schultze氏によるゲスト寄稿

　Microsoftの最新のInternet Explorerに関する臨時アップデートは、すぐにインストールすべきだ。感染しているウェブサイトの数は、警戒すべき勢いで増加している。正規のウェブサイトだけを閲覧している人までが、この攻撃で被害を受けつつある。

　とにかく、今すぐパッチを当てて欲しい。なぜこのような緊急リリースが行われたのだろうか。

　（参照：As attacks escalate, MS readies emergency IE patch）

　MicrosoftがIEに関するゼロデイ脆弱性について知ったのは、他の人たちとほぼ同じ時期のようだ。つまり、米国時間12月9日の、月例パッチの日だ。MicrosoftのMSRCブログの記事によれば、Microsoftはその12月9日に攻撃に関する調査を行い、ソースコードのレビューを行い、それがすべてのバージョンのIEに影響があると判断した。その後、Microsoftは非常に素早くすべてのバージョンのIEに対するパッチ作業を行ったのだろうと思われる。

　Microsoftはこの問題がどの程度深刻なのかを判断する必要があった。これは、臨時のパッチをリリースするか、来月の月例パッチの時期まで待つかを判断するためだ。12月第2週の終わりまでに、Microsoftはこの問題が過去に経験したゼロデイ攻撃よりも速いペースでユーザーのシステムに感染し始めていることに気付いた。私の考えるところでは、Microsoftはこの水準のデータに基づき、この問題には臨時アップデートのリリースが必要だという判断を行ったと思われる。

　（参照：Hackers exploiting (unpatched) IE 7 flaw to launch drive-by attacks）

　8日間で調査し、修正し、検証し、パッチをリリースするというのは、驚くべき離れ業だ。すべてのプラットフォーム、すべての言語の、すべてのバージョンのIEに対応が必要だということを考えればなおさらのことだ。これは、Microsoftの「総力戦」による対応だ。私はこれが今後の緊急度の低いパッチへの通常の対応になるとは思わない。これはMicrosoftの現在の手順に非常に大きな混乱を与えるからだ。

　同じように重要なのが、顧客がこのパッチを、彼らが持つすべてのシステムにできる限り速やかに適用することだ。

　多くの企業は、Microsoftがパッチを作ったほどにはすばやく適用することができないであろうことに、クッキーを1枚賭けてもいい。

*Eric Schultze氏は、脆弱性マネジメントを専門とする企業Shavlik Technologiesの最高技術責任者（CTO）である。