ITmedia NEWS > セキュリティ >
ニュース
» 2007年06月27日 10時38分 公開

「ゼロデイの水曜日」説の信憑性は? McAfeeが検証

Microsoftの月例パッチ公開にタイミングを合わせ、攻撃者がゼロデイの脆弱性情報を公開しているという説について、McAfeeが検証結果を公表した。

[ITmedia]

 Microsoftが月例セキュリティアップデートを公開する「パッチ・チューズデイ」(パッチの火曜日)にタイミングを合わせ、攻撃者がゼロデイの脆弱性を公開しているのではないかとする「ゼロデイ・ウェンズデイ」(ゼロデイの水曜日)説は本当なのか――。米McAfeeは6月26日、この問題についての検証結果をブログで公開した。

 「ゼロデイ・ウェンズデイ」説は、攻撃者が未パッチの脆弱性をできるだけ長期間悪用するため、意図的にMicrosoftの月例パッチ公開と前後してゼロデイの脆弱性情報を公開しているのではないかとするもの。

 McAfeeではこの説を検証するため、「脆弱性情報の公開と同じ日に、悪用情報が公開」されたケースをゼロデイの脆弱性と定義。2005年1月以降に発覚したMicrosoft製品のゼロデイの脆弱性200件について、月例パッチ公開日との相関関係を調べた。

 その結果、月例パッチの前後3日以内に公開されたゼロデイの脆弱性は、2005年が7件で、全体に占める割合は18%。2006年は36件(31%)、2007年は10件(24%)だった。

 月例パッチ当日と前後3日間を合わせた日数は7日間で、脆弱性情報の公開件数を均等に分散させると23%になる。2005年の18%はこれを下回り、2006年、2007年についてもそれほど大きな差は出ていない。しかも、発見段階で実際に悪用されていた脆弱性は約10%にすぎないことも判明した。

 こうした結果からMcAfeeは、タイミングを図っている攻撃者がいるのは確かだが、これは最高値になったところで株を売ろうとするようなもので、自分のゼロデイ攻撃がどのくらいの間潜伏でき、いつベンダーに通報され、いつパッチが当てられるかなどは攻撃者にも分からないと解説する。

 時間がたつほど脆弱性が発見され、パッチが当てられてしまう確率が高くなる。このことから、攻撃者の多くはパッチ公開日まで待つことなく、単純に準備ができた時点ですぐ、自分のゼロデイ攻撃を公開している可能性の方が高いとMcAfeeは結論付けている。

Copyright © ITmedia, Inc. All Rights Reserved.