本記事は、Microsoft Security Blog のブログThe Impact of Security Science in Protecting Customers” (2013 7 25 日公開) を翻訳した記事です。

Trustworthy Computing 部門は本日、ソフトウェアの脆弱性に対処するためにマイクロソフトが導入してきたリスク緩和策の長期的な効果を分析した新たな調査結果を発表しました。
この分析は、過去 7 年 (2006 ~ 2012 年) の間にマイクロソフトがセキュリティ更新プログラムを提供した脆弱性のうち、実際に悪用が発見されたものの調査に基づいています。調査では、悪用された脆弱性の種類、標的にされた製品バージョン、攻撃者が利用した手法の傾向を評価することに重点を置きました。

本日発表した新しい調査資料「ソフトウェアの脆弱性悪用の傾向」には、以下のような主要な調査結果が記載されています。

  • 悪用が発見されたリモートでコードが実行される (RCE) 脆弱性の年間件数は減少している。
  • 脆弱性が頻繁に悪用されるのは主にセキュリティ更新プログラムが提供された後であるが、ここ数年はセキュリティ更新プログラムが提供される前に脆弱性が悪用されるケースの割合が増加傾向にある。

図 1: セキュリティ更新プログラム提供の前後での悪用された CVE 件数の比較

 

  • スタック破��の脆弱性の悪用はこれまで最も頻度が高い脆弱性クラスだったが、最新の調査結果ではほとんど発生しなくなっている。悪用された件数は、2006 年の 43% から 2012 年の 7% に減少した。

図 2: 悪用が発見された CVE の脆弱性クラスの分布

 

  • 現在最も発生頻度の高い脆弱性クラスは、解放後使用の脆弱性である。
  • データ実行防止 (DEP) や Address Space Layout Randomization (ASLR) をバイパスする手法を使って悪用するケースが増えている。

図 3: 特定の手法を使用して悪用された CVE の件数

 

新たな調査結果には、上記の他にも、脆弱性の悪用を困難にする要素を知る上で役立つデータ ポイントが多数あります。それらの要素を活用して、どのように悪用の可能性を減らし、リスクを管理するかについて、調査結果に基づく推奨事項を提供しています。 

組織のリスク管理を担当する皆様にぜひお読みいただきたい内容です。こちらからダウンロードできます: http://download.microsoft.com/download/2/D/F/2DF4D24C-D22D-48FD-A64E-4F3DC3D8D384/Software Vulnerability Exploitations Trends - Japanese.pdf

マイクロソフトがこのような研究調査を行うのには理由があります。私がお話ししてきたお客様の多くが、使用するソフトウェアの供給元である業界やベンダーが深刻な脆弱性の少ないソフトウェアの開発に成功しているかどうかを判断する基準として、ソフトウェアの脆弱性の数を使用することに着目しています。また実際、マイクロソフトのセキュリティ インテリジェンス レポートでは、さまざまな脆弱性の数を公開しています。しかし、単純に数を集計したのでは、すべての脆弱性が等しいリスクをもたらすかのような印象を与えてしまいます。実際に攻撃者に利用された脆弱性とその悪用の方法を詳しく調べることによって、状況をより正確に把握することができ、その結果、脆弱性に付随するリスクを効果的に管理する方法を探ることができます。 

この調査は、マイクロソフト セキュリティ エンジニアリング センター (MSEC) と、マイクロソフト セキュリティ レスポンス センター (MSRC) によって実施されました。MSEC は、業界で最も先進的なセキュリティ サイエンス研究を行っています。このセキュリティ サイエンスは、次の 3 つの点でお客様のお役に立ちます。

  1. ソフトウェア脆弱性の発見。
  2. 開発者が導入すべき悪用緩和技術やツールの開発。セキュリティ サイエンスの調査結果は、マイクロソフトのセキュリティ開発ライフサイクル (SDL) の要件および推奨事項の通知に使用されます。セキュリティ開発ライフサイクルは、すべてのマイクロソフトの製品またはサービスの開発プロセスにおいて導入が必須です。この目的は、
    新しいバージョンのオペレーティング システム、ブラウザー、アプリケーションの
    攻撃耐性を以前よりも強化し、攻撃者が悪意のある効果的な攻撃を展開するのを難
    しくし、代償の大きいものにすることです。
  3. 現場における脅威の傾向と活動の常時監視と、調査結果を活用したマイクロソフトのツールやプロセスの向上。新たな脅威がエコシステムに侵入したことが調査によって判明した場合、MSRC およびマイクロソフトの対応プロセスが実施されます。

MSEC とセキュリティ サイエンスについて詳しくお知りになりたい場合は、http://www.microsoft.com/msec をご覧ください。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)