マイクロソフト、脆弱性情報を事前開示する新プログラム「MAPP」を開始へ
パートナー・ベンダーへの情報開示は10月から米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program(MAPP)」を10月から開始すると発表した。
同プログラムのパートナーとなるベンダーは、Microsoftの月例セキュリティ更新プログラムが正式リリースされる前に、パッチの技術情報の詳細にアクセスできるようになるという。Microsoftでは、同プログラムを提供することで、攻撃に対する防御コードを開発するベンダーは、事前にセキュリティ・ソフトウェアをテストできるようになるとしている。
MAPPの参加条件は、大規模な顧客ベースを持つWindows向け商用セキュリティ製品のベンダーに限られ、各攻撃方法に対処する疑似侵入テスト(ペネトレーション・テスト)ツールのベンダーは該当しない。
すでに米国IBM、米国Juniper Networks、米国3ComのTipping Point部門がMAPPのパートナーとして登録しているが、その他のベンダーも順次加わる見通しだ。
TippingPointのセキュリティ・リサーチ部門でシニア・ディレクターを務めるデビッド・エンドラー(David Endler)氏によると、近年、サイバー犯罪者らが利用するツールはますます進化しており、Microsoftが最新パッチをリリースしてからわずか数時間でエクスプロイト・コードが登場するほどになっているという。このため、事前にバグの技術情報を提供するMicorosoftの計画は、セキュリティ業界に対する手助けになる、と同氏は語っている。
Endler氏は「24時間の猶予だけでも大いに助かる」と言う。たとえTippngPointが情報を入手できたのがパッチのリリースの前日でも、その時間を利用してコードを作成し、フィルタリング・ソフトウェアのテストを行うことができるからだ。
また、Microsoftは脆弱性のランクを、危険度の高い順に「緊急(Critical)」「重要(Important)」「警告(Moderate)」「注意(Low)」の4つに分類しているが、10月からは「Exploitability Index」もこれに加わることになった。
Exploitability Indexは、月例パッチによる修正が行われる脆弱性について、ハッカーが実際に悪意のあるソフトウェアを開発し、攻撃を仕掛ける可能性の大きさを示す指標だ。同Indexが、月例セキュリティ情報「Public Security Bulletin」に加わることで、一般ユーザー向けの情報提供も強化されることになる。
Exploitability Indexは、「Consistent Exploit Code Likely:常時エクスプロイトの可能性あり」「Inconsistent Exploit Code Likely:不定期なエクスプロイトの可能性あり」「Functioning Exploit Code Unlikely:有効なエクスプロイトの可能性は低い」の4ランクに分類されるという。
同Indexシステムの採用により、Windowsユーザーは、Microsoft自身がどの脆弱性を最も懸念しているかを理解し、どのパッチを最優先でインストールするべきかを判断する手助けとなる。また、単純にシステムのクラッシュを起こすバグと、攻撃者がユーザーのPCを乗っ取る可能性のある深刻なバグとを区別する指標にもなるとしている。
なお、Microsoftは、今週ラスベガスで開催中のセキュリティ・コンファレンス「Black Hat」(8月2日〜7日開催)において、3件の新しいセキュリティ・プログラムを発表すると告知していたが、同社の広報担当者はこの日、MAPP以外の詳細はノーコメントとした。
(Robert McMilan/IDG News Serviceサンフランシスコ支局)
