マイクロソフト、セキュリティアップデートの自動配信に不具合

　Microsoftは米国時間10月10日、WindowsおよびOfficeに関する多数のパッチをリリースしたが、アップデートを自動的に配布するシステムには不具合が起こった。

　WindowsおよびOffice双方の緊急パッチを含む今回のアップデートは、Microsoftのウェブサイトから手動でダウンロードすることができるが、10日遅くには複数の自動化ツールで配布できるようにしたいと、同社は述べている。現在、Microsoftの技術チームが、アップデート過程で発生した問題を解決するため、「24時間体制で作業している」という。

　「『Microsoft Update』プラットフォームに技術的な問題が生じたため、10日にリリースしたセキュリティアップデートが、Microsoft Updateをはじめ『Automatic Updates』『Windows Server Update Services』『Windows Update v6』で利用できなくなっている」（Microsoft）

　Microsoftは先週、11件のパッチを提供すると発表していた。しかし同社関係者は10日、予定していたパッチのうち1件が「一定の品質基準に満たなかった」ことを明らかにした。残りの10件は、WindowsおよびOfficeの緊急パッチ6件を含んでおり、Microsoftのソフトウェアに存在する20件以上の脆弱性を修復する。あるセキュリティ企業によると、今回のアップデートが対象としている脆弱性の件数は今年最多だという。

　10日のセキュリティ情報には、OfficeとWindows向けの緊急レベルのフィックスが6件を含め、Microsoft製ソフトウェアの20件以上の脆弱性に対応している。あるセキュリティ企業は、今回のパッチリリースは、2006年に入ってから最も多いと述べる。

　QualysのテクニカルアカウントマネージャーJonathan Bitle氏は、「パッチ自体は10件しかリリースされていないが、修復対象となった脆弱性は26件に上っている。Microsoftが2006年に提供したアップデートの中では、この件数は最も多い。どのパッチを適用すればよいのか、その順番はどうすればよいのかといった指示をしなければならないIT管理者にとっては、大きな負担になるだろう」と述べた。

　今年2番目の規模だったのは8月のアップデートで、このときは12件のパッチがリリースされ、23件の脆弱性が修復対象となっていた。

　ウイルス対策企業Symantecは、今回のアップデートには、7月に発見された「Excel」の脆弱性や先月確認された「Word」の欠陥など、すでに実証コードが出回っているOfficeの脆弱性を修復するパッチが含まれていると説明している。

　Symantec Security ResponseのディレクターであるOliver Friedrichs氏は、「今月のアップデートで、これほど多くのMicrosoft Office関連の脆弱性が修復されたことから、同ソフトウェアが新たな攻撃の対象として狙い打ちされている現状がうかがえる。ユーザーはただちにこれらのパッチを適用して、隙のないセキュリティ戦略を確立すべきだ」と、声明の中で語った。

　またQualysのBitle氏は、特に「MS06-057」「MS06-058」「MS06-060」の3件のパッチについて、IT管理者は早急にインストール作業を実施することになるだろうと述べた。

　なおMicrosoftは、今月末に「Windows Internet Explorer 7」のリリースを予定しており、その直後に、Windows UpdateおよびAutomatic Updateを介して同ブラウザのアップデートを提供するとしている。同社は、コンピュータに新バージョンのブラウザが届くのを阻止する企業向けツールも配布している。Microsoftによれば、IE7のインストールを望まない企業は、11月1日までに同ツールを設定しておけばよいという。