MS、1年前に導入したセキュリティプログラムの成果を報告

UPDATE　セキュリティ業界全体の向上を目指した3種のセキュリティプログラムを立ち上げてから1年。Microsoftは、攻撃を未然に防ぐセキュリティパッチが増えつつあることを確認している。

　Microsoft Security Response Centerは2008年8月、顧客やパートナーなどのセキュリティを改善するべく、3種のセキュリティプログラムを発表した。それから約1年が経った7月27日、Microsoftはラスベガスで開催中の「Black Hat」セキュリティ会議において、これらプログラムの経過報告を発表した。

　攻撃を未然に防ぐパッチが増えたといっても、ゼロになったわけではない。同報告によるとMicrosoftは2008年10月〜2009年6月に50件のセキュリティ情報を発表し、その中で138件の脆弱性に対するパッチをリリースしたが、うち17件については、パッチがリリースされた時点でエクスプロイトコードが公開されており、67件については、安定したエクスプロイトコードが出現する可能性が高かったという。

　この報告に先立ち、Microsoftは米国時間7月24日、月例のセキュリティ更新プログラムとは別に、「Internet Explorer（IE）」の緊急レベルの脆弱性1件と、「Microsoft Visual Studio」の警告レベルの脆弱性1件に対応するセキュリティアップデートを7月28日にリリースすると発表した。

　だが一方で同社は、「Microsoft Office Web Components」のActiveXコントロールに存在する深刻なセキュリティホールにはまだ対応していない。Microsoftは2週間前、このセキュリティホールを悪用し、IEユーザーを悪質なウェブサイトへと導くことで、PCの制御を奪う攻撃が存在すると警告していた。これにより、Microsoftは2カ月足らずの間に3件のゼロデイ脆弱性を発表したことになる。