マイクロソフト、脆弱性の早期警告プログラムをまもなく開始へ

Dawn Kawamoto (CNET News.com)

2005-05-09 10:58

 Microsoftは、不具合の実態を明らかにし、パッチがリリースされるまでの間の次善策を提供するセキュリティ勧告サービスを米国時間10日から開始する。

 Microsoftの関係者によれば、「Microsoft Security Advisories」という同パイロットプログラムは、同社が問題を把握してから1営業日以内に警告を発し、その問題による影響を緩和する方策を提供するものだという。

 Microsoftのセキュリティレスポンスセンターでセキュリティプログラムマネージャを務めるStephen Toulouseは、「こうした勧告サービスを開始することで、セキュリティだけでなく、ほかの事項についてもユーザーに情報提供できるようになるだろう」と述べている。

 同社の今回の発表は、脆弱性に関する情報をいつ、どのように公開すべきかという議論が高まる中で行われた。ソフトウェア業界はこれまで、セキュリティ研究家に対し、「責任ある」方法で情報公開することを求めてきた。これは、ベンダーがセキュリティホールに対するパッチを作成するまで、セキュリティ研究家は問題を公にせず待機するべきだという考え方だ。だが、一部の脆弱性の発見者は、あくまでも情報の「完全」公開にこだわり、問題の発見と同時にその全容を発表している。脆弱性情報が公になれば、ソフトウェアメーカーもすぐに対策を講じざるを得ないというのが彼らの主張だ。

 セキュリティ企業Secuniaは4月、Microsoftの「Office」および「Access」プログラムに影響を及ぼす「非常に重大な」脆弱性に関する警告を発した。当時、Microsoftは同脆弱性に対するパッチを作成していなかった。Secuniaの警告には、この脆弱性を悪用するための攻撃用コードがすでにウェブ上に出回っていることが記されていた。

 Microsoftの新たな勧告プログラムでは、脆弱性には関係しないが、セキュリティ上のリスクとなり得る問題についても警告が出される。例えば、ソーシャルエンジニアリングを利用してユーザーをだまし、機密性の高い情報を漏洩させようとするフィッシング詐欺攻撃はソフトウェアの脆弱性ではないが、Microsoftはこうした問題にも警告を発していくと、同社関係者は話している。

 また、今回の勧告サービスでは、一般に出回ってしまった攻撃用コードや、あるいはリリース済みのアップデートもしくは脆弱性に関連する「脆弱性実証」コードについても、ユーザーに告知するという。

 各警告には、ユーザーが当該の警告に関係する最新情報を確認するための参照用ナンバーが付与される。その後、脆弱性に対応するパッチがリリースされる可能性があるためだ。Microsoftは毎月定期的にセキュリティアップデートを行っている。

 もっとも、勧告ではセキュリティ問題の危険度の評価は行われないと、Toulouseは述べている。同氏によれば、脆弱性だけでなく、セキュリティ関連の悪質ないたずらや、フィッシング攻撃の危険度までも評価できる包括的なシステムを構築するのは困難だという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]