2013 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは！関東地方では、雪が降るとの予報がでていますが、今日はとても寒いです。仕事も私生活もイベントが多く何かと忙しい時期でもありますので、体調管理には十分ご注意くださいね。さて、今回は、今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 

概要
2013 年は、全 106 件のセキュリティ情報 (MS13-001 〜 MS13-106) を公開しました。なお、これらの 106 件のセキュリティ情報で 336 件の一意の脆弱性 (CVE) の対処を行いました。また、定例外[i]のリリースとして、MS13-008 (Internet Explorer) を 1 月に公開しました。
2012 年は 83 件のセキュリティ情報を公開していることから、比較するとセキュリティ情報の公開数が著しく増加しているように見えますが、2011 年は 100 件、2010 年は 106 件だったことから、増加というより平均的な公開数に戻ったと考えられます。

月の傾向
セキュリティ情報は毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、人員確保や適用準備を事前に行えるよう考慮し定めています。
2013 年の月別の公開数を見てみると、月 8 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 11 件のセキュリティ情報が該当しました。昨年は、7 件だったため、今年は少々増えているようです。

図 1: 2013 年の月別セキュリティ情報公開数

製品の傾向
次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2013 年は、Windows、Internet Explorer (IE)、Office に対するセキュリティ情報が増え、サーバー製品や開発ツールなどは減りました。そして、2012 年は、Windows の全体に占める割合が、2007 年以降初めて半数を割りましたが、今年は、また約半数を占めるまでに増えました。なお、1 つのセキュリティ情報で複数の製品が影響を受けることがあるため、母数がセキュリティ情報の公開数より多くなっています。

図 2: 製品タイプ別影響を受けるソフトウェア傾向

脆弱性の傾向
最後に、脆弱性の傾向を見てみましょう (図 3)。対処された脆弱性の割合を見ると、IE、および、カーネルモード ドライバー (KMD) の脆弱性で半数を超えていました。IE のリモートでコードが実行される脆弱性を悪用し、侵入後にカーネルモード ドライバーの特権昇格の脆弱性を悪用するというような攻撃を想定していることが原因の可能性があります。また、メモリ破損の脆弱性が 4 割を占めていました。これを見るとメモリ破損の脆弱性の緩和に効果的なEnhanced Mitigation Experience Toolkit (EMET) を導入することが有効と考えられます。

図 3: 製品別脆弱性数割合 (左) と脆弱性の種類 (右)

マイクロソフトでは、月例での脆弱性の対処はもちろんのこと、暗号化やデジタル証明書の取り組みや、未知の脆弱性の悪用も緩和する無償セキュリティ ツール EMET の開発にも力を入れています。
しかしながら、セキュリティ インテリジェンス レポート 第 11 版 にもありましたが、未知の脆弱性の悪用は、マルウェア等で悪用される脆弱性全体のわずか 0.12 パーセントにすぎません。公開後のセキュリティ更新プログラムのインストールはとても重要ですので、マイクロソフト製品を含め、脆弱性の対処が含まれたソフトウェアの更新が公開された場合は、安全にコンピューターを利用するためにも速やかにインストールしてくださいね。

以上、数値を中心とした簡単な傾向のご紹介でした。

[i] 月例のセキュリティ情報公開日以外に緊急でセキュリティ情報を公開すること。