マイクロソフトは、セキュリティパッチに関する1件の問題により、今月リリース予定だったすべてのセキュリティパッチを3月まで延期すると発表しました。パッチバンドル全体の遅延は理にかなっていないように思われ、現時点ではマイクロソフトは遅延に関する詳細な情報提供を拒否しています。
パッチ火曜日
Microsoftは、Windowsオペレーティングシステムのパッチを毎月中旬の火曜日にリリースする傾向があります。この更新スケジュールは長年ほぼ変わっていないため、10年以上前に「Patch Tuesday(パッチチューズデー)」という俗称で呼ばれるようになりました。つまり、誰もがMicrosoftから毎月第2週の火曜日に新しいセキュリティパッチがリリースされることを期待していたのです。
2014年秋、GoogleはMicrosoftに対し、Windowsの脆弱性を修正するために90日間の猶予を与えました。Microsoftは、Googleが最終的に脆弱性を公開した後、修正を2日間延期し、その脆弱性に対する修正プログラムを次のPatch Tuesday(パッチチューズデー)にも組み込むようにしました。この2日間の延長によって、攻撃者に脆弱性を悪用するわずかな機会を与えてしまったとしても、MicrosoftはPatch Tuesdayのスケジュールを厳守することに非常に熱心でした。
マイクロソフトの見解では、Googleがパッチ火曜日の2日前に脆弱性を公開したため、ユーザーがゼロデイ攻撃を受けやすくなったとされています。この状況について誰が最も責任を負っているかはさておき、重要なのは、マイクロソフトがパッチ火曜日の伝統を維持するという決断を揺るぎなく続けてきたということです――もちろん、今月までは。
2月のアップデートは3月に延期
マイクロソフトは今週、TechNet ブログで次のようなコメントを発表し、2 月に予定されていたアップデートが今月はリリースされないことを全員に知らせました。
「当社の最優先事項は、お客様のシステムの維持と保護において、可能な限り最高の体験を提供することです」と同社は述べています。「今月、一部のお客様に影響を与える可能性のある問題が直前に発見され、本日予定していたアップデートまでに解決できませんでした。あらゆる選択肢を検討した結果、今月のアップデートを延期することを決定しました。既存の計画への変更によりご不便をおかけしたことをお詫び申し上げます」と付け加えました。
その後、同社は声明を次のように更新した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
「2017 年 3 月 14 日火曜日に予定されている 3 月のアップデートの一部としてアップデートを配信します。」
一見すると、これらの発言は非常に奇妙です。マイクロソフトは、あるパッチに一つ問題があるせいで、他のセキュリティ修正を含むパッケージ全体のリリースが丸々1か月遅れると言っていたのです。
ここで問題となっているのは、Microsoftのパッチの一つに不具合があり、リリースを延期せざるを得なかったということではありません。それは当然のことであり、おそらく毎月のように起こることでしょう。しかし今回、これまでと異なるのは、一つのパッチに不具合があったために、Microsoftが一連のセキュリティ修正全体を延期せざるを得なくなったという点です。
この件についてさらに質問するためMicrosoftに連絡しましたが、同社は公式声明を参照するよう指示し、これ以上のコメントは拒否しました。Microsoftが具体的な内容を明らかにしていないため、推測することしかできません。
パッチバンドルポリシーに問題があるのでしょうか?
遅延の主な理由は、Windows 10 がセキュリティパッチを個別に提供するのではなく、「パッチバンドル」として提供していることにあると考えられます。そのため、1 つのパッチに問題がある場合、バンドル全体の提供が遅れる可能性があります。
同社は最近、Windows 7とWindows 8.1のセキュリティパッチもバンドル配信し始めました。これはかなり物議を醸す動きでした。第一に、これによりマイクロソフトは提供するアップデートの種類に関して透明性を低下させる可能性があるからです。これは、マイクロソフトが過去にも批判されてきた、透明性を欠いた決定です。
第二に、現在企業が直面しているのと全く同じ種類の問題が発生する可能性があります。すべてのアップデートがモジュール化されておらず、バンドルとして相互に結び付けられている場合、パッチの1つの問題がパッケージ全体に影響を及ぼしかねません。
第三に、このような遅延は、ユーザーが必要なアップデートを適時に入手できないため、セキュリティリスクを不必要に高めます。例えば、Microsoftが特定のメーカーのノートパソコンモデルで、バンドルに含まれるパッチ1つに問題があることに気づいたとします。この場合、Microsoftは問題のあるパッチのリリースを単に延期するのではなく、当該ユーザー向けのバンドル全体のリリースを延期せざるを得なくなり、ユーザーは数十ものセキュリティ問題に晒される可能性があります。(パッチ火曜日には、毎回数十ものセキュリティパッチがリリースされる傾向があります。)
今回発生した問題は、前述の例と似ていますが、すべてのWindowsユーザーに影響します。信頼性の観点から見ると、パッチをモジュール化しておく方がはるかに理にかなっているように思われます。特定のデバイスにおける新たな問題を特定しやすくなり、1つの問題を修正する必要がある場合でも、数週間、あるいは数ヶ月にわたって数十ものセキュリティ修正プログラムがユーザーに提供されないという事態は避けられます。
マイクロソフトからのアップデートの透明性向上が望まれる
この問題は、数十もの新たな脆弱性に対する修正が1ヶ月間も得られないまま、多くのユーザーが放置される可能性があるため、重要な問題だと考えています。そのため、Microsoftが3月のパッチバンドルをリリースする際に、何が起きたのかを透明性を持って明らかにしていただければ幸いです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
