MAPP の新しいイニシアティブ
本記事は、BlueHat のブログ “New MAPP Initiatives” (2013 年 7 月 29 日公開) を翻訳した記事です。
みなさん、こんにちは。
ウイルス対策ベンダーに対して早期にセキュリティ情報を提供し始めた頃、ベンダーが保護策の開発を行い、脆弱性の定義ファイルを検証、そしてセキュリティ情報が公開された際にそれらをリリースできるように、2008 年に Microsoft Active Protections Program (MAPP) が開始されたことを覚えておられる方もいると思います。MAPP は、その当時よく使用されていた「火曜日(日本時間の水曜日)に更新し、水曜日(日本時間の木曜日)に悪用する」に対する回答でした。この頃、エクスプロイトライターは、マイクロソフトのセキュリティ更新プログラムに対しリバース エンジニアリングを行い、エクスプロイトをビルドする行程の自動化を開発しました。セキュリティベンダーは、その他の人々と同じ時間に情報を受け取り、更新プログラムを適用する前に保護策の開発を行い、定義ファイルを検証しなければなりませんでした。MAPP によって、セキュリティ ベンダーは「善人は、悪人に対して、有利なスタートを切る」ことができるようになりました。その開始から現在まで、MAPP はお客様が検証に必要な時間をかけて更新プログラムを適用できるように、マイクロソフトが更新プログラムをリリースする際に、これらのベンダーが保護策をリリースできることに成功しています。
ここに至るまで、MAPP は、マイクロソフトが実環境で悪用を発見した場合のインシデントレスポンス プロセンスの重要な部分にもなっています。これらのインシデントに見舞われている間、マイクロソフトは MAPP パートナーに詳細な検出ガイダンスを提供することで、私達の共通のお客様に対し、早急に保護策を構築できるよう支援することができます。大抵の場合、私達が恒久的な修正でその問題を解決しようと働く一方で、お客様に対して重要なレベルの保護策を提供するものです。
MAPP が開始されてから、その運用方法に少々の外的変化がありました。社内的には、プログラムの管理方法に多少の修正を行いましたが、大部分は 2008 年のものと同じプログラムで、パートナーも同じプログラムを彼らが運用を行う上で必須だと言っています。例として以下をご参照ください。
「MAPP プログラムは、Trend Micro のサイバー犯罪者に対する防御の強化を支援します。タイムリーな情報共有のおかげで、誤検出を最小限に止め、お客様に最良で正確な保護策を提供することができます。」と Trend Micro の CTO、Raimund Genes は言っています。
「MAPP から提供されたデータで、お客様に対して、ゼロデイの脆弱性への保護策をより早く提供できるようになり、問題の先回りをする価値のあるソースであることを証明しています。」 -- Peter Szabo, Senior Threat Researcher, SophosLabs Canada
「MAPP は脆弱性に関する事前通知だけではなく、実行可能な情報も提供することで、より早く、お客様のために保護策を構築することができるようになりました。このため、重要なサイクルを維持することができ、MAPP の価値ある情報共有は、私達のサイバー犯罪に対する脅威に注力したアプローチを全面的にサポートしています。」 - Matt Watchinski, Vice President of Vulnerability Research, Sourcefire
これほどの高評価をいただいていますが、マイクロソフトは常にプログラムの評価をしています。今回、変化する脅威の全体像、およびパートナーからのフィードバックを基に行ったいくつかの変更点について紹介します。
セキュリティ ベンダー向けの MAPP
はじめに、既存の MAPP プログラムの明確な定義を持ち、新しいプログラムの異なる点が何かを伝えるために、現在、世間に知られている MAPP を「セキュリティ ベンダー向けの MAPP」と呼ぶことにします。以下が、従来の MAPP が今後どうなっていくか、その概要です。
MSRC は、お客様、およびパートナーからフィードバックを集め、またそれに対処してきた歴史があります。例えば、Software Update Validation Program (SUVP) (英語情報)は、権限を与えられた企業が、運用環境外でマイクロソフトのセキュリティ更新プログラムの検証を許可し、リリース前に、それらの更新プログラムに対するフィードバックが提供されてきました。お客様とのパートナー関係は、社内検証の域を超え、お客様のネットワークで稼働している多くのカスタムアプリケーションを含みます。
ほぼ同じ方法で、セキュリティ ベンダー向けの MAPP の一環として、広範な MAPP コミュニティに配信する前に、権限を与えられたセキュリティ ベンダーがマイクロソフトの検出ガイダンスに対するフィードバックを提供する MAPP Validate (MAPP 認証) を導入しています。これは、コミュニティに準拠したイニシアティブで、開発を合理化し、より迅速で高品質な保護策をお客様に提供できるように、検出ガイダンスを使用する支援となります。
次に、パートナー達は、マイクロソフトが保護策を開発するために彼らに与えている 1 日早い開発スタートに、明確なビジネス価値を見出していると言っています。しかしながら、時には構築、検証、および上質な定義ファイルの提供には更なる時間がかかる場合もあります。そのため、検出ガイダンスを効率、改善するために、ある一定の厳しい基準を満たす MAPP パートナーについては定義ファイル開発にかかる時間を1 営業日から 3 営業日に延長します。基準については、例えば、パートナーはレポーティング要件を満たしているというトラック レコードが最低 2 年あること、また、ユーザー環境で新しい問題をパートナーが発見した場合に、私達がすばやく対応する必要があるため、私達とのパートナー関係に対する積極性が立証されていなければなりません。エントリーレベルの MAPP パートナーについては、今後も 1 日早く情報を受け取るだけです。これまでと同じように、私達はお客様のセキュリティについて非常に深刻に受け止めております。いずれかのパートナーが、気づかないうちに、あるいは気づきながらも漏えいした情報があると判明した場合は、調査の結果に依って、すべてのプログラムからはずされ、エントリーレベルのステータスのみに変更されます。
レスポンダー向けの MAPP
業界全体にわたって、標的型攻撃は企業、政府、およびその他の団体にとって主要な脅威の 1 つであると認識されています。応対する企業、CSIRT、ISAC、そしてセキュリティ ベンダーを含むインシデント レスポンダーは、これら攻撃の検出、対応、および修正という闘いの最前線に立っています。レスポンダー向けの MAPP というこのプログラムを通じて、私達は戦略的な知識の交換を可能にする新しいパートナー関係、そしてコミュニティのコラボレーションを確立しようと取り組んでいます。マイクロソフトは、悪意のある URL、ファイル ハッシュ、インシデント データ、および関連する検出ガイダンスを共有することでこの取り組みに貢献する心づもりです。「得るために与える」というモデルを採用することで、コミュニティは彼らが提供したデータがその他の関係者からのデータを集約し、強化されることで利益を得ます。
レスポンダー向けの MAPP とセキュリティベンダー向けの MAPP の違いは何でしょうか?前者が高いレベルで検出と修正を目的としているのに対し、後者は、保護策の開発がすべてです。レスポンスパートナーと共有しようと私達が計画する情報は、脆弱性に特化しているというよりは、より脅威に関する情報に注力しています。これら、2 つのプログラムを統合したものがインシデントレスポンス周辺の情報です。標的型攻撃に対し、より多くのディフェンダーで対策することが、私達の全体的な戦略の主軸です。
効果的な知識の交換には、自動化と共通の形式が必要です。これを達成するためには、Mitre の STIX (Structured Threat Information Expression [構造化された脅威情報の表現])、および TAXII (Trusted Automated Exchange of Indicator Information [インジケーター情報の信頼済み自動交換])仕様をサポートする予定です。情報の形式化、および移動に関する公開の規格として、STIX、および TAXII は広範囲に採用され始めています。形式に関わらず、私達は、脅威に関する情報を活用できる組織に対する脅威情報の流れを促進することで、お客様に対応したいと思っています。また、私達は他の一般に使用されている形式に代わる形式を構築しようと努めています。この形式は現在開発中で、近い将来、パイロット版を開始する予定です。
MAPP スキャナー
MSRC は、!exploitable、OffVis、および EMET などのツールを構築した、業界内でも指折りのエンジニアを採用しています。MAPP スキャナーは非公開のパイロット プログラムですが、インシデントの調査を目的として私達のセキュリティ エンジニアが開発した、コンテンツベースの脆弱性スキャナーです。私達は、脆弱性を悪用しようと試みているかどうか判断するため Office ドキュメント、PDF ファイル、Flash 動画、および疑わしい URL をスキャンできるクラウドベースのサービスである MAPP スキャナーをご紹介します。
MAPP スキャナーは、ファイルが脆弱性を悪用しようと試みているか判断するために、スタティック型、およびアクティブ型の両方の分析を実行します。サポートされているすべてのバージョンの Windows 上のバーチャルマシンをスピンアップし、サポートされているバージョンの適切なアプリケーション内のコンテンツを開きます。MAPP スキャナーは既知の脆弱性を検出することができ、その問題に対し CVE および影響を受けるプラットフォームを戻す一方で、より深い分析の既知の脆弱性と関連しない、疑わしいアクティビティに対しフラグをたてます。結果として、MAPP スキャナーは現在未確認の脆弱性を特定するために非常に効果的であるとともに、インシデントを調査するレスポンダーの能力と効率を劇的に向上させているといえます。
このテクノロジーを、標的型攻撃にさらされる可能性があるパートナー、および、セキュリティインシデントを調査、修正するためにパートナーと協力する人達に利用可能にすることで、新しい攻撃、および攻撃ベクターが発見される見込みが増えました。また、これは調査の効率性を目的としており、攻撃の特定、および適切な保護策が適用されるプロセスが時間短縮されます。
今後
BlueHat Prize、および私達の新しい報奨金プログラムなどの、その他のマイクロソフト セキュリティ イニシアティブと同様に MAPP の任務は「あらゆるレベルの攻撃を緩和し、お客様を保護する」というシンプルなものです。私達は、この任務を果たすためにさまざまな異なるコミュニティと協力してきた長い歴史があり、引き続き、協力関係を続けていくつもりです。また、現在取り組んでいるその他のイニシアティブもありますので、今後、この場で取り上げられるような報告をお待ちください。
Jerry Bryant
Senior Security Strategist
Microsoft Trustworthy Computing