ITmedia NEWS >

技術障害のWindowsパッチ配布遅れ、公式見解は?

» 2006年10月12日 20時21分 公開
[Matt Hines,eWEEK]
eWEEK

 既報のようにMicrosoft社内システムのトラブルが原因で、最新のセキュリティパッチのリリースに遅れが生じた。今回のパッチは、WindowsおよびOfficeに含まれる幾つかの深刻な欠陥に対処するもの。

 Microsoftは、月例セキュリティアップデートに、ユーザーが当初アクセスできないという障害発生についてコメントした。10月10日にパッチを配布する際にシステム上の問題が起きたのが原因だという。

 Microsoftは既にこの不具合を修正したようだが、セキュリティパッチが最初にリリースされた時点で同社は、自動配布メカニズムを通じてパッチを入手することはできないと通知した。

 Microsoftの広報担当者によると、この障害は同社のパッチ配布システムにネットワーク上の問題が生じたのが原因であり、この問題は既に解決されたという。セキュリティアップデート自体には何の問題もないとしている。

 Microsoftのセキュリティ情報Webサイトには、次のようなメッセージが掲載された。

 「Microsoft Updateプラットフォームで生じた技術的問題のため、本日リリースされたセキュリティアップデートは現在、Microsoft Update、Automatic Updates、Windows Server Update ServicesおよびWindows Update v6を通じて入手することができない」。

 このメッセージはその後、サイトから削除されており、ユーザーが今月のパッチを入手する際にトラブルが生じたという新たな報告もない。

 また、Microsoftでは今のところ、新たな脆弱性に対処するためのセキュリティ情報を再リリースする必要はないようだ。同社はこれまで、何度かセキュリティ情報を再発行したことがあり、最近では2006年9月に、WebブラウザのInternet Explorerにおける既知のセキュリティホールをすべてふさぐため、セキュリティ情報の再発行を余儀なくされた。

 しかしMicrosoftは今回、少なくとも1つのパッチのリリースを延期せざるを得なかった。同社は今月初め、11件のセキュリティアップデートを発行すると発表したが、実際にリリースされたのは10件だった。

 Microsoftの広報担当者によると、予定されていたWindowsアップデートの1つのテストで問題が見つかり、そのパッチを今回のリリースから外し、追加テストを行っているという。

 Microsoftでは、このパッチを次のセキュリティアップデートで提供する予定だ。

 今回発行された10件のアップデートには、Microsoftのソフトウェア脆弱性評価システムで最も深刻度が高い「緊急」の脆弱性に対処するパッチが6件含まれる。同社はこのアップデートで26件の問題に対処した。同社の人気製品であるPowerPoint、Excel、Officeに対する累積パッチリリースも含まれている。

 2006年10月分のパッチの総数は、Microsoftの過去12カ月のセキュリティリリースの中で最も多かった。これまで最高記録は、8月にリリースした12件のパッチで23件の問題に対処したもの。

 今回の多数のセキュリティフィックスで同社は、大きく報じられたWordの脆弱性や、最近発見されたIEのSetslice「シェル」の脆弱性を含む4つのゼロデイ脆弱性に対処した。Setsliceの脆弱性は、ブラウザの「Webビュー」モードでコンテンツを表示させているユーザーのシステム上で攻撃者が悪質なコードを実行することを可能にする。

 オンデマンドサービスを手掛けるセキュリティプロバイダーのQualysは、10月の月例パッチでMicrosoftが「重要」としか評価していないもう1つの脆弱性の深刻度について、「これはファイル/プリンタ共有機能を提供するWindowsのサーバサービスへのリモート攻撃を可能にする」と指摘している。

 カリフォルニア州レッドウッドショアーズに本社を置くQualysによると、企業ユーザーはこの脆弱性に「特別な注意」を払い、直ちにシステムにパッチを適用しなければならないという。Windowsシステムではサーバサービス機能がデフォルトで有効になっているからだ。

 Microsoftが自動配信チャネルを通じてパッチを配布するのに問題が起きたため、Qualysでは、企業ユーザーは新たに出現する攻撃に対して防御するために、将来のセキュリティアップデートを入手するための新たな方法を検討すべきだとしている。

 同社の脆弱性研究所のディレクター、アモール・サーワテ氏は、「企業は標準のパッチ配布手順を見直す必要があるかもしれない。Microsoftでネットワーク問題が発生しており、ユーザーは現在、これらの脆弱性に対して自動アップデートを実行することができないからだ」と話していた。

 「また、クライアント側の脆弱性の数を考えれば、Qualysは今後も企業ユーザーに対し、社内のセキュリティポリシーを修正するよう促すとともに、攻撃を認識/阻止する手段に関するTipsとトレーニングを提供し続ける方針だ」(サーワテ氏)

 セキュリティ調査会社のInternet Security Systems(ISS)によると、2006年はセキュリティ脆弱性に関して節目の年になり、これまでに5450件以上の欠陥が報告されているという。なおISSは最近、IBMによって13億ドルで買収された。

 ソフトウェアベンダー各社が公表している欠陥の増加ペースから推測すると、2006年には7500件の脆弱性が発見される可能性がある。2005年に対処されたセキュリティ問題は5195件だった。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.