Microsoftに残された最後の大きなセキュリティ問題（1/2 ページ）

MicrosoftはWindows XP SP2やVistaを通じて自社製品のセキュリティを大幅に改善した。だが、Officeのファイルフォーマットという大きな問題がまだ1つ残されている。

[Larry Seltzer，eWEEK]

　Microsoftは自社製品のセキュリティを大幅に改善したが、大きな問題がまだ1つ残されている。修正するのに何年もかかる厄介な問題だ。

　Microsoftは、自社製品のセキュリティの主要な欠陥を（除去とまでは言えないにせよ）着実に修正してきた。

　Microsoftが比較的最近まで出荷していた製品のセキュリティ品質は悲惨なものだったが、わたしに言わせれば、その程度の品質が当時の業界標準だったのである。その後、あらゆるベンダーが自社製品のセキュリティ――あるいは「セキュア化可能性」と言うべきかもしれない――を改善したが、Microsoftほど大幅な改善を実現した企業はない。

　MicrosoftがWin9xカーネルを最終的にお払い箱にしたのは、それほど昔のことではない。このプラットフォームはセキュア化するのが不可能で、長期間わたって安定稼働させることもできなかった。1990年代のMicrosoft Officeの各バージョンも同様のアーキテクチャ的弱点を抱えていたため、セキュア化することができなかった。

　同社のプラットフォームが容易にハッキングできなくなったのは、Windows XP Service Pack 2とServer 2003 Service Pack 1が登場してからのことである。

　それ以前は、Microsoftではバッファオーバーフロー問題をはじめとするコードの欠陥を発見することが奨励されていなかったのは明らかだ。しかも同社の各製品は、新機能を見せびらかすよう設定されたデフォルト構成で出荷されていたが、セキュリティの観点から見れば、これらは恐ろしい選択だった。中でも特に批判されたのは、Windows 2000 ServerではIISがデフォルトで有効になっていたことだった。そのため、これらのサーバがCode Redなどの類のワームの攻撃にさらされる羽目になったのだ。

　しかしあなたが現行世代の製品を利用し、セキュリティに関して分別を持っているのであれば、Microsoftの製品は少なくとも競合製品と同じくらいセキュアである。

　VistaのUAC（ユーザーアカウントコントロール）機能については、もっともな批判もあるが、セキュリティ専門家の間では概して、大きな前進だとして評価されている（関連記事）。バッファオーバーフロー問題は非常に少なくなり（皆無ではないが）、デフォルトも全般的に機能を制限した設定となった。参考までに、セキュリティを実現するためのアーキテクチャデザインを比較したグラフを参照していただきたい。

　Microsoftはセキュリティに対処し始めたが、完全に修正するのに何年もかかる1つの大きな問題を抱えている。古いOfficeのファイルフォーマットである。

　読者もご存じのように、この1年余りの間に、Officeのファイルフォーマットでコード実行脆弱性が相次いで発見され、その多くがゼロデイ攻撃のターゲットになった。わたしが読んだレポート（多分、Kasperskyのレポートだったと思う）によると、これらのドキュメントの供給源は無数に存在し、この問題を修正するための根本的な変更は、対策としての価値以上に大きな互換性問題を引き起こすという。