Microsoftは米国時間13日、Windowsのなかに見つかった少なくとも20カ所の欠陥を修正するパッチをリリースした。このパッチで修正される欠陥のなかには、新たなワームやウイルスの攻撃に対して、複数のWindowsを無防備にしてしまうおそれがあるものもある。
今回発表された欠陥のうち、少なくとも6つは、昨年8月以来合わせて800万台以上のコンピュータに感染した、MSBlastワームやその亜種の大流行につながった欠陥と同じ種類のもので、これらのワームと似通ったプログラムから攻撃を受けやすくなってしまう。また、もう1つの欠陥は、Internet Explorer、Outlook、Outlook Expressが使用する共通のファイルに影響を与えるもので、PCユーザーが特別に仕掛けられたリンクをクリックすると、ウイルスが実行されてしまう。
Microsoftは今回、20カ所のセキュリティホールを修正する合わせて4つのパッチをリリースしたが、これは同社が昨年から始めた月例パッチリリースの一環。Microsoftは、修正パッチを適用した企業には危険は及ばないと述べただけで、これらの欠陥が生み出すリスクの緊急度についてはコメントしていない。
Microsoft Security Response CenterのセキュリティプログラムマネージャーStephen Toulouseは、「パーソナルファイアウォールを有効にしていれば、これらの脆弱性に関するリスクが減るものも多い。しかし、われわれはこの問題を極めて真剣にとらえている」と語った。
今回リリースされたなかでは、MS04-011というパッチが最もサイズが大きいが、これは14カ所の欠陥を修正するもの。このうち、「Help and Support Center」のなかで見つかったセキュリティホールは、Windows Server 2003とWindows XPの両方に影響を与える。また、Windows Meta Fileというイメージフォーマットのなかに見つかった別の欠陥を悪用すると、あるデジタル画像ファイルをつくりだし、それを使ってWindows NT、Windows 2000、Windows XPの各OSが動作するコンピュータを乗っ取れてしまう。14カ所の欠陥のうち少なくとも6つは、リモートユーザーによるWindowsマシンの乗っ取りを可能にしておそれがあるもの。
Toulouseは、今回多数の欠陥修正用パッチを一挙にリリースしたことについて、Microsoftでは1つひとつの欠陥にその都度対応する代わりに、パッチの適用作業が一度に済むようにある程度の数が揃うまで公開を見合わせていたと説明する。
「われわれは、3カ月続けて、毎月同じようなファイルを小出しにするのではなく、一度にすべての問題を修正するパッチを提供しようとしているのだ」(Toulouse)
しかし、セキュリティ専門家のなかには、Microsoftのこうしたやり方を非難する者もいる。彼らの考えによると、Microsoftは顧客の利便性よりも自社の対外的な評判を優先しているという。
eEye Digital Securityの最高ハッキング責任者、Marc Maiffretは、「今回のようなやり方は、最近のMicrosoftのセキュリティに対する姿勢を裏付けるものだ。つまり、パッチのリリース回数を減らせば、それだけ脆弱性も少ないかのような印象を持たせられることから、複数のパッチをまとめてリリースするためだけに、顧客を無防備なまま長い間放ったらかしにしておくことも厭わないということだ。このようなことは絶対に容認できない」と語った。
13日に発表された欠陥のうち6つはeEye Digital Securityが発見したものだ。同社はWindowsユーザーに対し、できるだけ速やかにシステムをアップデートするよう呼びかけている。Maiffretは以前、Microsoftが欠陥の修正に最も長い場合で200日もかかっている点を批判したことがあったが、今回の欠陥については、216日かかっているものもあると指摘した。
一方、Microsoftに対してそれほど批判的でないセキュリティ専門家もいる。
「Microsoftは欠陥の修正に時間をかけすぎると一般化することはできない」というのはGerhard Eschelbeck。脆弱性評価を専門とするQualysという企業のCTO(最高技術責任者)を務める同氏は、「欠陥がソフトウェア内部のどこにあるかによって、修正にかかる時間も変わってくる」と述べている。
Qualysでは13日に発表されたうち2つの欠陥を発見していた。その1つはネットワーキング用コードライブラリのなかで見つかったものだが、この場合発見から修正パッチを出すまでに2カ月しか経っていないとEschelbeckは指摘する。もっとも、2月にeEye Digital Securityがこのライブラリのなかにある別の欠陥を見つけていたことから、Microsoftはある意味で予習済みだったといえなくもない。
「今回発表された欠陥のなかには、過去に見つかっていたものの派生物が多い」とEschelbeckは述べ、さらに「通常、コード内のある特定の部分で欠陥がひとつ見つかると、その部分を調べる研究者が多くなる」と付け加えている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス