Microsoft Active Protections Program (MAPP) の成果について - 日本のセキュリティチーム - Site Home - TechNet Blogs(情報元のブックマーク数)

MAPPの話、ソフトウエアベンダーやIDS、IPSシステムのベンダー向けに事前にパッチ情報をもらえるプログラム。

2008 年に発足した Microsoft Active Protections Program (MAPP) というプログラムをご存じでしょうか。MAPP は、マイクロソフトの月例セキュリティ更新プログラムの公開前に、マイクロソフト脆弱性に関する情報をセキュリティ ソフトウェア プロバイダー、侵入検知システムや侵入防止システムの開発ベンダーなどのパートナーに提供するプログラムです。セキュリティ更新プログラムの公開前に脆弱性を悪用したマルウェアが出現してもお客様を保護できるようにする、という目的で作られました。
2011 年 8月 2 日 (US 時間) にマイクロソフト セキュリティ レスポンス センター (MSRC) が公開した「Building a Safer More Trusted Internet Through Information Sharing 2011」というレポート (英語) に、3 年目を迎えたこのプログラムがこれまでどのような成果を挙げてきたかということが記載されていますので、ここでも紹介したいと思います。
MAPP 開始以前は、セキュリティ ソフトウェア プロバイダーは一般ユーザーと同じタイミング -- セキュリティ更新プログラム情報公開時 (太平洋時間で毎月第二火曜日の朝 10:00) に初めて脆弱性情報を受け取り、そこから自社製品であるウィルス対策ソフトウェアや侵入検知システムなどのセキュリティ ソフトウェアやデバイスの定義ファイルのコーディングを開始していました。当時は、公開されたセキュリティ更新プログラムをリバース エンジニアリングし、どういった脆弱性なのか調査し定義ファイルを作成するまでに約 8 時間を要していました。一方、悪意を持った攻撃者もそれと同じタイミングで脆弱性情報を得て、その脆弱性を突いたマルウェアを作り始めます。熟練 (?) の攻撃者が特定の脆弱性を突いたマルウェアを作り出すのにかかる時間もまた 8 時間と言われているため、毎月、お客様を保護しようというセキュリティ ソフトウェア プロバイダーと、無防備なユーザーを攻撃しようという攻撃者との間でタイム レースが繰り広げられていたのでした。タイミングによっては、セキュリティ更新プログラム公開後数時間の間、更新プログラムを適用していないユーザーはセキュリティ対策ソフトウェアが対応できない脅威に攻撃される可能性がある、という危険な状態が作られていたわけです。
MAPP 開始後は、MAPP メンバーが事前に脆弱性情報および必要情報を入手でき、リバース エンジニアリングの必要がなくなりました。また、MAPP メンバーは、セキュリティ更新プログラム公開と同時に自社のセキュリティ製品の更新ファイルを公開できるようになったため、このようなタイム
レースはなくなり、お客様への保護策は強化されるようになりました。

Microsoft Active Protections Program (MAPP) の成果について – 日本のセキュリティチーム

screenshot