米Microsoftは8月5日(現地時間)、セキュリティソフトベンダーなどと脆弱性に関する情報を共有する新プログラム「Microsoft Active Protections Program (MAPP)」を発表した。パートナー企業の迅速なセキュリティ対策を支援し、ユーザー保護を向上させるのが狙い。またユーザーにセキュリティホールの危険度を伝えるために、新たにExploitability Index(悪用度インデックス)を提供する。
MPAA、Exploitability Indexともに、Microsoftが毎月第2火曜日に提供している月例セキュリティアップデートに大きく関係している。ゼロディ攻撃という言葉があるように脆弱性の発見から攻撃までのサイクルが短縮する中、Microsoftの月例セキュリティアップデートでも、リリース直後にアップデートをリバースエンジニアリングし、数時間でエクスプロイトコードが登場するケースが見られるという。このような攻撃からユーザーを守るためにはMicrosoftだけではなく、同社製品向けのセキュリティ・ソフトやサービスを提供するベンダーなども含めた対応が必要になる。そこでMAPPでは、同社がセキュリティアップデートを提供する前の段階で、セキュリティソフトウエアベンダーなどに脆弱性と対処に関する情報を提供する。
脆弱性情報の共有はセキュリティエコシステムの確立につながる反面、パートナーに提供した脆弱性情報が漏れた場合、逆に攻撃に利用される可能性もある。信頼性を審査し、機密保持契約を結んだ上での情報共有になるが、実際にリスクの表面化を避けられるかに注目が集まりそうだ。
Exploitability Indexは、Microsoftがセキュリティアップデートで対処した脆弱性に関して、エクスプロイトコードによる攻撃の危険度を伝えるガイダンスになる。 Microsoft Security Response CenterのMike Reavey氏によると、Microsoftがセキュリティアップデートをリリースする度に、対処した脆弱性のいずれでエクスプロイトコードが確認されているかという問い合わせがユーザーから寄せられるそうだ。ユーザーはリスクを伴う脆弱性を特に気にしているのだ。同氏によると、セキュリティアップデートで修正された脆弱性のうち、エクスプロイトコードが確認されているのは約30%。Exploitability Indexは、その見極めや、被害を防ぐためのセキュリティアップデート導入の優先順位の判断などを手助けする。10月より月例のセキュリティ公報の中に含まれる予定だ。
