MAPPというベンダーへの事前情報提供と、MSVRというExploitが発生しそうかどうかの基準値のMSによる評価結果らしいが、それをBlackhatで発表したみたい。

Microsoft Security Response Centerは2008年8月、顧客やパートナーなどのセキュリティを改善するべく、3種のセキュリティプログラムを発表した。それから約1年が経った7月27日、Microsoftはラスベガスで開催中の「Black Hat」セキュリティ会議において、これらプログラムの経過報告を発表した。

　攻撃を未然に防ぐパッチが増えたといっても、ゼロになったわけではない。同報告によるとMicrosoftは2008年10月〜2009年6月に50件のセキュリティ情報を発表し、その中で138件の脆弱性に対するパッチをリリースしたが、うち17件については、パッチがリリースされた時点でエクスプロイトコードが公開されており、67件については、安定したエクスプロイトコードが出現する可能性が高かったという。

MS、1年前に導入したセキュリティプログラムの成果を報告 - ZDNet Japan

Microsoftが1年前に導入した3種のプログラムについて、これまでの成果を具体的に見ていくと、まず1つ目の「Microsoft Active Protections Program（MAPP）」は、月例セキュリティ更新のリリース前に、パートナー企業45社に脆弱性の情報を提供している。MAPPのパートナーでネットワークセキュリティプロバイダーのSourcefireは、同プログラムの情報を基に、Microsoftが毎月発表するセキュリティ情報の約95％に対応する脆弱性対策を公開している。

　MAPPの導入前は、リバースエンジニアリングを行って概念実証コードを作成し、脆弱性を突いた攻撃を検出できるようにするのに約8時間かかった。Microsoftによると、これは知識の豊富な攻撃者が脆弱性の存在を確認してからエクスプロイトコードを作成するまでに要する時間とほぼ同じだという。
　しかし、現在はわずか2時間ほどで対応できるとSourcefireは述べている。他の作業はMicrosoftが行うため、Sourcefireは検出プログラムを作成するだけでよく、Microsoftによると、いかなるエクスプロイトコードが登場しても、通常その何時間も前にパッチがリリースされているという。

MS、1年前に導入したセキュリティプログラムの成果を報告 - ZDNet Japan

2つ目のプログラム「Microsoft Exploitability Index」では、各脆弱性についてエクスプロイトコードが登場する可能性がどの程度あるかを評価しているが、Microsoftはその信頼度が99％にのぼると報告している。同プログラムが2008年に発表した140件の評価のうち、後から脆弱性の深刻度を引き下げた事例は1件のみだという。

　3つ目のプログラム「Microsoft Vulnerability Research（MSVR）」では、Microsoftの研究者がサードパーティのソフトウェアのセキュリティホール発見に取り組んでいる。MSVRチームは2008年6月〜2009年6月の期間に、32のベンダーに影響するソフトウェアの脆弱性を発見したという。

　サードパーティのソフトウェアに発見されたセキュリティホールのうち、86％は緊急レベルまたは重要レベルで、13％はすでに修正されたが、5％はまだ修正過程にあるとMicrosoftは報告している。なお、MSVRチームとMicrosoftのセキュリティ研究者Billy Rios氏は、先ごろ修正されたAppleのブラウザ「Safari」のセキュリティホールも発見している。

MS、1年前に導入したセキュリティプログラムの成果を報告 - ZDNet Japan