日本マイクロソフトは17日、2013年のセキュリティ情報を総括した。2013年は、全106件のセキュリティ情報(MS13-001~MS13-106)が公開され、336件の一意の脆弱性(CVE)に対処した。また、1月に1件の更新プログラム(MS13-008)を緊急リリースした。
|
2013年の月別セキュリティ情報公開数(TechNet Blogsより) |
2013年の月別セキュリティ情報の公開数は、1月が8件、2月が12件、3月が7件、4月が9件、5月が10件、6月が5件、7月が7件、8月が8件、9月が13件、10月が8件、11月が8件、12月が11件。このうち、公開時点で脆弱性の悪用が確認されていたセキュリティ情報は11件で、2012年の7件に比べ増加している。
脆弱性の影響を受けるソフトウェアの傾向は、2012年と比べ、Windows、Internet Explorer(IE)、Officeに対するセキュリティ情報が増え、サーバ製品や開発ツールなどは減少した。全体の中では、Windows OS関連が約半数を占める。
|
製品タイプ別影響を受けるソフトウェア傾向。1つのセキュリティ情報で複数の製品が影響を受けることがあるため、母数がセキュリティ情報の公開数より多くなっている(TechNet Blogsより) |
製品別の脆弱性の割合は、IEおよびカーネルモード ドライバ(KMD)の脆弱性が過半数を占めた。IEの「リモートでコードが実行される脆弱性」を悪用し、侵入後にカーネルモード ドライバの「特権昇格の脆弱性」を悪用する、というような攻撃が原因と同社は推測する。また、脆弱性の種類は、メモリ破損の脆弱性が4割となり、対処法として、システムアクセス権の不正取得を防ぐEnhanced Mitigation Experience Toolkit(EMET)の導入を推奨している。
Microsoft製品の月例更新プログラムは、毎月第2火曜日(米国日付)に公開される。同社は、未知の脆弱性の悪用は脆弱性全体の0.12%に過ぎないため、セキュリティ更新プログラムの速やかな適用が重要としている。
