Microsoft の脆弱性情報戦略:ゼロデイを防ぎながらノイズを増やさない方法とは?

Microsoft: We Don’t Want to Zero-Day Our Customers

2022/08/12 DarkReading — BLACK HAT USA — Microsoft のセキュリティ担当幹部は、同社の脆弱性開示ポリシーについて、セキュリティ・チームが十分な情報に基づき、パッチ適用を決定するために必要なものであり、また、パッチを素早くリバース・エンジニアリングして悪用する、脅威アクターからの攻撃を受けるリスクはないと述べた。

Black Hat USA の会場で Dark Reading と対談した、Microsoft の VP of Security Response Center である Aanchal Gupta は、同社はユーザーを保護するために、CVE と伴に最初に提供する情報を、意識的に制限していると述べた。Microsoft の CVE は、バグの深刻度や悪用される可能性および、積極的な悪用の可能性について情報を提供するが、同社は脆弱性悪用情報の公開方法については慎重に判断するという。


Gupta は、「ほとんどの脆弱性に対する、現在の Microsoft のアプローチは、パッチの公開から 30日間の期間をおいて、脆弱性と悪用の可能性に関する詳細な情報を、CVE に記入するというものだ。その目的は、セキュリティ管理者を危険にさらすことなく、パッチ適用に十分な時間を与える点にある。CVE と伴に、脆弱性における詳細な悪用方法を提供してしまうと、顧客をゼロデイ状態に追い込むことになる」と述べている。

脆弱性情報が乏しい?

他の大手ソフトウェア・ベンダーと同様に、公開する脆弱性情報が比較的少ないという理由で、Microsoft もセキュリティ研究者からの批判にさらされている。2020年11月以降において MicroSoft は、Security Update Guide で脆弱性を説明するために、Common Vulnerability Scoring System (CVSS) フレームワークを使用している。この記述には、攻撃ベクトル/攻撃の複雑さ/攻撃者が持ちうる特権の種類といった属性が含まれている。また、深刻度のランクを示すスコアも提供されている。

しかし、一部の人々にとっては、この更新プログラムは不可解であり、悪用されるコンポーネントや悪用方法について、重要な情報が欠けていると受け取られている。また、脆弱性を “Exploitation More Likely” または “Exploitation Less Likely” というバケットに分類する、現在の Microsoft の方式では、リスクベースの優先順位を決定するのに、十分な情報が提供されていないと指摘する声もある。

さらに、最近の Microsoft は、クラウドにおける脆弱性の透明性が欠如していると指摘され、批判にさらされている。2022年6月に Tenable の CEO である Amit Yoran は、同社の研究者が発見/報告した Azure の脆弱性2件に対して、Microsoft が黙ってパッチを適用したと非難している。

Yoran は、「これらの2つの脆弱性は、Azure Synapse サービスを利用している誰もが悪用できるものだった。この状況を評価した後に Microsoft は、リスクを軽視して、顧客に通知することなく、問題の1つに静かにパッチを当てることを決定し」と指摘している。Yoran は、Orca Security や Wiz といった他のベンダーが、Azure の脆弱性をMicrosoftに開示した後に、同様の問題に遭遇したことも指摘している。

MITRE の CVE ポリシーとの整合性

Gupta は、脆弱性に対して CVE を発行するかどうかという Microsoft の判断は、MITRE の CVE プログラムの方針と、一致していると述べている。

Gupta は、「そのポリシーに従い、顧客対応が必要ない場合は、CVE を発行する必要はない。その目的は、ユーザー組織におけるノイズレベルを下げ、対策を講じることができない情報により、負担をかけないようにすることにある。Microsoft が安全性を保つために、毎日のように行っている活動の、すべてを知る必要はない」と指摘している。

Gupta は、クラウドの脆弱性が顧客に影響を及ぼす可能性があるケースとして、また、Microsoft による対処するかの一例として、昨年に Wiz が、Azure の Open Management Infrastructure (OMI) コンポーネントに、4つの深刻な脆弱性があるとして、情報を公開したことを挙げている。その際の Microsoft の戦略は、影響を受ける組織と直接連絡を取ることだった。

Gupta は、「CVE を発行する一方で、パッチを適用する責任がユーザーにある環境であれば、迅速なパッチ適用を推奨するために、顧客への通知も行う。したがって、なぜ問題が通知されなかったのかと捉える組織があるかもしれない」と述べている。

脆弱性情報に関する Microsoft のスタンスですが、パッチ提供のタイミングを調整して、公表するという考え方は正しいと思います。そして、パッチを適用する組織にとって、脆弱性情報は必要なものという考え方にも同意です。オンプレであろうがクラウドであろうが、そこに差はありません。ただ、パッチ適用はできなくても、緩和策は取れるというケースもあるので、その点も考えてほしいです。それと、クラウドの脆弱性ですが、後の統計などにも役立つはずなので、CVE を採番してくれると嬉しいですね。よろしければ、参考資料として、2022年4月19日の「あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?」と、6月30日の「バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える」を、ご参照ください。

%d bloggers like this: