Microsoft Security Response Center(MSRC)の所長であるマーク・ミラー氏は、問題の調査とパッチの開発および検証に手間取ったため、リリースが遅れてしまったと今回の一件を弁明している。「パッチを開発するには、長期間にわたる複雑なプロセスを経なければならない。内容の調査を実施して、関連するコードに同類の脆弱性がないかどうかをチェックし、なるべく多くの問題を特定して解決するよう努めている」(ミラー氏)
アニメーション・カーソル処理に脆弱性があることを突き止めたのは、米国デターミナの脆弱性研究者、アレクサンダー・ソティロフ氏。同氏は昨年12月20日、アニメーション・カーソルに用いられる「.ani」ファイルに欠陥があることをMicrosoftに警告した。
この報告を受けたMicrosoftは調査を開始した。同社は、毎月第2火曜日に実施している月例パッチ・リリースを今年3月には行わなかったが、その当時、この脆弱性に関する調査はすでに終了しており、パッチも完成していたとミラー氏は説明する。にもかかわらず同パッチをリリースしなかったのは、「検証作業が続行中だった」(ミラー氏)ためだという。
ところが、3月末になって、この問題は急を要する事態へと発展する。3月28日、今度はMcAfeeが、カーソルの脆弱性を悪用した攻撃を確認した旨をMSRCに伝えた。それから5日もしないうちに、何百もの悪質なWebサイトを駆使する同種の攻撃が激増。この緊急事態を受け、Microsoftは4月10日の月例アップデートに先駆けてパッチを提供すると発表した。
パッチの提供を前倒ししたことについて、ミラー氏は、もともと4月の月例リリース対象となっていたパッチを早く配布しただけだと説明している。「たまたまそうする条件がそろった。リリースを1週間前倒しにするのは、特に難しいことではなかった」(ミラー氏)
このように同氏は、脆弱性を悪用した攻撃が発生し、広く報道されたためにMicrosoftがパッチのリリースを急いだという説を否定している。
「(攻撃の活発化に伴って)パッチ開発に携わる人員の数が変わることはないが、365日無休で続けている国際的な監視体制には変化が生じる。McAfeeから連絡を受けた時点で、われわれはSSIRP(Software Security Incident Response Process)を実行に移し、攻撃の調査と深刻度の判定を行った」(ミラー氏)
一方、この脆弱性を発見したデターミナのソティロフ氏は、パッチ配布までに時間がかかったことでMicrosoftを非難しようとは思わないという。「同社がパッチのリリースまでに要している平均時間を考えれば、今回の脆弱性が例外だったとは言えない。むしろ、きわめて標準的だ」と同氏は語った。
Symantecによると、Microsoftの場合、脆弱性の存在が明るみになってから修正パッチが配布されるまでの日数は平均で21日だという。ハッカー側が故意に伏せていたと考えられる今回の脆弱性は、「一般公表」されたのが3月28日なので、同社はそれからわずか6日間でパッチを提供したことになる。
しかしながら、今回の脆弱性がMicrosoftの社員ではないソティロフ氏によって発見されたという事実を前にすると、セキュリティやコードの精査への注力を公言してきた同社の姿勢を疑わざるをえない。
アナリストや研究者の中には、今回の脆弱性と、2005年1月に修正された脆弱性との共通点を指摘する者もいる。セキュリティ・アップデート「MS05-002」によって修正された2005年の脆弱性は、やはりアニメーション・カーソルと関係があり、パッチがリリースされる57日前に、イーアイ・デジタル・セキュリティの研究者がMicrosoftに報告していたものだった。
ミラー氏が言うように、パッチを開発する過程で、関連するコードに同類の脆弱性がないことをMicrosoftが確認しているのなら、なぜ2005年の時点で今回の問題が発見されなかったのだろうか。この点についてミラー氏は、「2005年に今回の脆弱性を突き止められなかった原因を、今まさに分析しているところだ」と答えるにとどめている。
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Microsoft
http://www.microsoft.com/