第25回　2016年7-8月～Microsoft製品のサポートおよびセキュリティ情報の現状＆CVE番号の採番状況

今月は、サポートおよび脆弱性関連の情報に焦点を絞って、説明を行います。

ふだんあまり気にしないところかもしれませんが、意外な気付きを提供できればとも考えています。

Windows Vistaは2017年4月11日～使っている人は環境の移行をお早めに

2006年11月にリリースされたWindows Vistaですが、来年の4月にはサポート終了となります。

Windows Vistaの使い勝手がWindows XPのそれと比較して非常に煩雑だったこともあり、それまでリリースされていたWindows 2000やWindows XPからWindows Vistaへの移行が進まず、結果として移行しなかったり、その次にリリースされるWindows 7を待つユーザが非常に多かった記憶もありますが[1]⁠、このサポート終了にともない、サポート対象となるクライアント系OSがまず1つ減ることになります。なお、Windows Vistaは現在延長サポート期間であり、延長サポート終了が2017年4月11日となります。

いずれにしても、上記プラットフォームを使用している方々は、余裕を持って早めの移行をお勧めします。

Windows 製品のサポートライフサイクルについて: https://www.microsoft.com/ja-jp/windows/lifecycle/default.aspx?navIndex=4

MS16-100は8月にリリース～100の大台に乗ったのは昨年よりも1ヵ月早い

今年に入って、世の中的にもいろんなセキュリティインシデント事件が起こっていますが、筆者の個人的な関心事の1つでもあるMS16-100を採番されたMicrosoft セキュリティ情報のリリースが2016年8月に行われました。

筆者は以前からMicrosoft セキュリティ情報を追いかけていて、この数年は100を超える管理番号が出てくる頻度が高くなっているように見えます。

以下は、2000年から今年に至るまでのMSxx-100がリリースされたペースとその年最後のMicrosoft セキュリティ情報の番号、そしてその年の（OS等の）リリースイベントなどをまとめた表です。

表　2000年以降のMSxx-100の到達状況

MSxx-100がリリースされた年月	その年の最後のセキュリティ情報	その年の主な関連イベント内容（参考）
MS16-100:2016/8	/	ブラウザサポートポリシー変更（2016/1）
MS15-100:2015/9	/MS15-135	Windows 10リリース（2015/7⁠）⁠、Windows Server 2003, 2003 R2サポート終了（2015/7）
MS14-100:（なし	/MS14-085	Windows XP サポート終了（2014/4）
MS13-100:2013/12	/MS13-106	Windows 8.1リリース（2013/10）, Windows Server 2012 R2リリース（2013/10）
MS12-100:（なし）	/MS12-083	Windows 8リリース（2012/8）, Windows Server 2012リリース（2012/9）, Windows RTリリース（2012/10）
MS11-100:2011/12	/MS11-100	Windows Home Server 2011リリース（2011/5）
MS10-100:2010/12	/MS10-106	Windows 2000サポート終了（2010/7）
MS09-100:（なし）	/MS08-074	Windows 7リリース（2009/9）, Windows Server 2008 R2リリース（2009/9）
MS08-100:（なし）	/MS08-078	Windows Server 2008リリース（2008/2）
MS07-100:（なし）	/MS07-069	とくになし
MS06-100:（なし）	/MS06-078	Windows Vistaリリース（2006/11）
MS05-100:（なし）	/MS05-055	Windows Server 2003 R2リリース（2005/12）
MS04-100:（なし）	/MS04-045	とくになし
MS03-100:（なし）	/MS03-051	Windows Server 2003リリース（2003/6）
MS02-100:（なし）	/MS02-072	とくになし
MS01-100:（なし）	/MS01-060	Windows XPリリース（2001/10）
MS00-100:2000/12	/MS00-100（※）	Windows 2000リリース（2000/2）

※：調べていておもしろかったのは、2000年も100のセキュリティ情報をリリースしているという点。ただし、最近は複数の脆弱性をまとめて1つのセキュリティ情報にしていることもあり、2000年当時のセキュリティ情報の数と今のセキュリティ情報の数を同列に論じることは難しい。

とくに直近2～3年の数の推移を見ると、サポート対象となるクライアント系Windows OSの数に連動して、サポート情報が変動しているように見えます。

クライアント系OSの数以外の要素を挙げるならば、Microsoftによるバグ報奨金プログラムの運用なども、サポート情報の増加に寄与しているようにも見えます。

Microsoft Bounty Programs: https://technet.microsoft.com/ja-jp/security/dn425036
マイクロソフト報奨金プログラムの展開 – Azure および Project Spartan: https://blogs.technet.microsoft.com/jpsecurity/2015/04/22/azure-project-spartan/
マイクロソフト報奨金プログラムの拡張 – Nano Server Technical Preview の報奨金プログラム: https://blogs.technet.microsoft.com/jpsecurity/2016/05/12/microsoft-bounty-programs-expansion-nano-server-technical-preview-bounty/

CVE番号の採番状況から見る今年の脆弱性の数～今年はCVE2016-10000を見ることに？

これまで多くの方は、CVE-(年号)-xxxxという形の管理番号を見慣れていたと思うのですが、今年はもしかしたら、末尾の数字が5桁になるかもしれません。

CVE番号の運用は、米国MITRE社により決定され、運用されていますが、2014年から末尾の数字の桁数を変えられるような運用に切り替えられています。4桁で収まる場合には、4桁固定ですが、4桁を超える場合には、割り当てられる数に応じて5桁、6桁、…というように増えていく感じです。

脆弱性を識別するCVE番号の新体系による採番のお知らせ: https://www.jpcert.or.jp/pr/2014/pr140006.html

以下は、2013年から今年に至るまで、CVE番号が採番されている状況になります。

2013年：CVE-2013-7458
2014年：CVE-2014-9906
2015年：CVE-2015-8953
2016年：CVE-2016-7094（予約されている番号のうち、実際の脆弱性に割り当てられているもの（2016年8月27日現在）

最も多かった年が2014年であり、2016年8月27日現在で有効な最新のCVE番号が7094と見えるので、同じ数字が2014年のいつごろに割り当てられたかを確認してみたところ、9月19日ということがわかりました。

現在までに割り当てられたCVEの一覧は、以下のURLからダウンロードすることが可能です。

Download CVE: https://cve.mitre.org/data/downloads/

2016年は、2014年よりも1ヵ月近く早いタイミングで7094番めの数字が割り当てられていることになります。

図　2014年と2016年のCVE割り当ての時期比較（7094番目）

2014年のCVE割り当て

Name：CVE-2014-7094
Status：Candidate
URL:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7094
Phase：Assigned (20140919)

このペースで行くと、年末に差し掛かるころにはCVE-2016-10000を超えそうです。