インフラセキュリティの処方箋

第25回 2016年7-8月~Microsoft製品のサポートおよびセキュリティ情報の現状&CVE番号の採番状況

この記事を読むのに必要な時間:およそ 2 分

今月は,サポートおよび脆弱性関連の情報に焦点を絞って,説明を行います。

ふだんあまり気にしないところかもしれませんが,意外な気付きを提供できればとも考えています。

Windows Vistaは2017年4月11日~使っている人は環境の移行をお早めに

2006年11月にリリースされたWindows Vistaですが,来年の4月にはサポート終了となります。

Windows Vistaの使い勝手がWindows XPのそれと比較して非常に煩雑だったこともあり,それまでリリースされていたWindows 2000やWindows XPからWindows Vistaへの移行が進まず,結果として移行しなかったり,その次にリリースされるWindows 7を待つユーザが非常に多かった記憶もありますが注1)⁠このサポート終了にともない,サポート対象となるクライアント系OSがまず1つ減ることになります。なお,Windows Vistaは現在延長サポート期間であり,延長サポート終了が2017年4月11日となります。

いずれにしても,上記プラットフォームを使用している方々は,余裕を持って早めの移行をお勧めします。

Windows 製品のサポート ライフサイクル について
https://www.microsoft.com/ja-jp/windows/lifecycle/default.aspx?navIndex=4
注1)
筆者の手元にも,Windows Vistaを稼働させているマシンは現時点でありません。

MS16-100は8月にリリース~100の大台に乗ったのは昨年よりも1ヵ月早い

今年に入って,世の中的にもいろんなセキュリティインシデント事件が起こっていますが,筆者の個人的な関心事の1つでもあるMS16-100を採番されたMicrosoft セキュリティ情報のリリースが2016年8月に行われました。

筆者は以前からMicrosoft セキュリティ情報を追いかけていて,この数年は100を超える管理番号が出てくる頻度が高くなっているように見えます。

以下は,2000年から今年に至るまでのMSxx-100がリリースされたペースとその年最後のMicrosoft セキュリティ情報の番号,そしてその年の(OS等の)リリースイベントなどをまとめた表です。

 2000年以降のMSxx-100の到達状況

MSxx-100がリリースされた年月その年の最後のセキュリティ情報その年の主な関連イベント内容(参考)
MS16-100:2016/8/ブラウザサポートポリシー変更(2016/1)
MS15-100:2015/9/MS15-135Windows 10リリース(2015/7)⁠Windows Server 2003, 2003 R2サポート終了(2015/7)
MS14-100:(なし/MS14-085Windows XP サポート終了(2014/4)
MS13-100:2013/12/MS13-106Windows 8.1リリース(2013/10), Windows Server 2012 R2リリース(2013/10)
MS12-100:(なし)/MS12-083Windows 8リリース(2012/8), Windows Server 2012リリース(2012/9), Windows RTリリース(2012/10)
MS11-100:2011/12/MS11-100Windows Home Server 2011リリース(2011/5)
MS10-100:2010/12/MS10-106Windows 2000サポート終了(2010/7)
MS09-100:(なし)/MS08-074Windows 7リリース(2009/9), Windows Server 2008 R2リリース(2009/9)
MS08-100:(なし)/MS08-078Windows Server 2008リリース(2008/2)
MS07-100:(なし)/MS07-069とくになし
MS06-100:(なし)/MS06-078Windows Vistaリリース(2006/11)
MS05-100:(なし)/MS05-055Windows Server 2003 R2リリース(2005/12)
MS04-100:(なし)/MS04-045とくになし
MS03-100:(なし)/MS03-051Windows Server 2003リリース(2003/6)
MS02-100:(なし)/MS02-072とくになし
MS01-100:(なし)/MS01-060Windows XPリリース(2001/10)
MS00-100:2000/12 /MS00-100Windows 2000リリース(2000/2)

※:調べていておもしろかったのは,2000年も100のセキュリティ情報をリリースしているという点。ただし,最近は複数の脆弱性をまとめて1つのセキュリティ情報にしていることもあり,2000年当時のセキュリティ情報の数と今のセキュリティ情報の数を同列に論じることは難しい。

とくに直近2~3年の数の推移を見ると,サポート対象となるクライアント系Windows OSの数に連動して,サポート情報が変動しているように見えます。

クライアント系OSの数以外の要素を挙げるならば,Microsoftによるバグ報奨金プログラムの運用なども,サポート情報の増加に寄与しているようにも見えます。

Microsoft Bounty Programs
https://technet.microsoft.com/ja-jp/security/dn425036
マイクロソフト 報奨金プログラムの展開 – Azure および Project Spartan
https://blogs.technet.microsoft.com/jpsecurity/2015/04/22/azure-project-spartan/
マイクロソフト報奨金プログラムの拡張 – Nano Server Technical Preview の報奨金プログラム
https://blogs.technet.microsoft.com/jpsecurity/2016/05/12/microsoft-bounty-programs-expansion-nano-server-technical-preview-bounty/

CVE番号の採番状況から見る今年の脆弱性の数~今年はCVE2016-10000を見ることに?

これまで多くの方は,CVE-(年号)-xxxxという形の管理番号を見慣れていたと思うのですが,今年はもしかしたら,末尾の数字が5桁になるかもしれません。

CVE番号の運用は,米国MITRE社により決定され,運用されていますが,2014年から末尾の数字の桁数を変えられるような運用に切り替えられています。4桁で収まる場合には,4桁固定ですが,4桁を超える場合には,割り当てられる数に応じて5桁,6桁,…というように増えていく感じです。

脆弱性を識別するCVE番号の新体系による採番のお知らせ
https://www.jpcert.or.jp/pr/2014/pr140006.html

以下は,2013年から今年に至るまで,CVE番号が採番されている状況になります。

  • 2013年:CVE-2013-7458
  • 2014年:CVE-2014-9906
  • 2015年:CVE-2015-8953
  • 2016年:CVE-2016-7094(予約されている番号のうち,実際の脆弱性に割り当てられているもの(2016年8月27日現在)

最も多かった年が2014年であり,2016年8月27日現在で有効な最新のCVE番号が7094と見えるので,同じ数字が2014年のいつごろに割り当てられたかを確認してみたところ,9月19日ということがわかりました。

現在までに割り当てられたCVEの一覧は,以下のURLからダウンロードすることが可能です。

Download CVE
https://cve.mitre.org/data/downloads/

2016年は,2014年よりも1ヵ月近く早いタイミングで7094番めの数字が割り当てられていることになります。

 2014年と2016年のCVE割り当ての時期比較(7094番目)

2014年のCVE割り当て
2016年のCVE割り当て

このペースで行くと,年末に差し掛かるころにはCVE-2016-10000を超えそうです。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入