「Windows Update」の規模は増加傾向…… AIで激増する脆弱性報告にMicrosoftがコメント

Microsoftのセキュリティ部門「MSRC」が公開したパッチノート

　今月の「Windows Update」では138件もの脆弱性が修正され、そのうち30件は深刻度が“緊急”と評価された致命的なものになるなど、比較的大規模なリリースとなりました（ちなみに、4月は163件と数は多かったものの、“緊急”なものは2件にとどまっていました）。Microsoftのセキュリティ部門「MSRC」が公開したパッチノートによると、今後もこの傾向は続くと予想されているとのこと。

　この背景には、セキュリティAIによる脆弱性の発見件数が加速していることがあります。たとえば、先日リリースされた「Firefox 150」では、Anthropic社の未公開モデル「Mythos」により271件もの脆弱性が見つかりました（「Firefox 149」は46件）。「Google Chrome 148」では127件もの脆弱性が修正されていますが、最近はマイナーアップデートが実施されてもセキュリティ更新の公表が追い付かない状態です。Microsoftへの脆弱性報告も増加の傾向で、それに自社開発の新しいマルチモデルAIスキャンによる検出まで加わるといいます。

　Microsoftはこの状況に対処するため、セキュリティを改善する取り組み「Secure Future Initiative」（SFI）を通じ、報告処理の自動化やトリアージ（優先順位付け）でAIの活用を拡大しているとのこと。

　ただし、あくまでも中心は人間による対応という方針は変わりません。また、毎月セキュリティパッチを提供する体制（パッチチューズデー）にも変わりはないとのこと。

　ただし、「Out-of-band」（緊急）のリリースは必要に応じて行われます。残念ながら、これは今後増える見込みとのこと。心しておいた方がよいかもしれません。

　また、同社は顧客に対しても協力を呼び掛けています。大事なのは最新のパッチを引き続き適用すること、脆弱性を評価する「CVSS」のスコアだけに頼らず、悪用が可能か、公開エクスプロイト（攻撃）がないかどうかもチェックすること、ID管理を強化すること、攻撃の検知と対応へ投資を行うことです。

　ご安全に！