米セキュリティ企業、ゼロデイ脆弱性情報をまとめたウェブサイトを開設

　eEye Digital Securityは米国時間12月5日、修正パッチが公式にリリースされておらず、ゼロデイ脆弱性となってしまっているセキュリティバグを追跡調査するウェブサイトを開設した。

　新設された「eEye Zero-Day Tracker」ウェブサイトには、5日の時点で、Microsoft製ソフトウェアにかかわる6件と、Adobe Systemsの「Acrobat」にかかわる1件のゼロデイ脆弱性がリストアップされていた。eEyeは、これらを悪用した攻撃から身を守るための手順を、各脆弱性についてそれぞれ提示している。

　eEyeの最高技術責任者（CTO）Marc Maiffret氏は、「日々新たに確認されるゼロデイ脆弱性やゼロデイ攻撃は、増加の一途をたどっている。当社にも、ネットワークを保護するための情報をいち早く提供してほしいという顧客の要望が殺到している」と、声明の中に記した。

　セキュリティ監視企業のSecuniaやFrench Security Incident Response Team（FrSIRT）も、パッチが適用されていない脆弱性を常に追いかけているが、すべてのゼロデイ問題を包括的に把握できるような仕組みは提供していない。例えばSecuniaは、ゼロデイ脆弱性を製品ごとにリストアップしている。

　特に2006年は、標的を絞り込んだサイバー攻撃に、新たに発見されたパッチ未適用の脆弱性が悪用されるケースが多かった。攻撃者はMicrosoftの月例パッチリリースに目を付けて、同社がパッチを提供した直後に新種の攻撃を仕掛けるようになっている。

　Microsoftは月例パッチリリースを毎月第二火曜日に行っており、広範な影響をおよぼす攻撃が起こらない限り、このサイクルを変更することはない。そうした背景から、セキュリティ専門家の中には「ゼロデイ水曜日」という造語を使用する者もいる。

　攻撃者は、とりわけ「Office」アプリケーションの脆弱性を好むようだ。2006年に入り、Microsoftおよびセキュリティ企業は、「Word」「PowerPoint」「Excel」といったアプリケーションのセキュリティホールで、いまだ修正が施されていないものを悪用する小規模かつ新たな攻撃に注意するよう、繰り返し呼びかけている。