Windowsはもっとも脆弱性が少ないOSです、という怪しげなことになっているMicrosoftだが、不気味にゼロデイ脆弱性は存在しているようだ。

Microsoft が4月の月例更新実施、しかし未対応脆弱性情報も

Windowsに新たなゼロデイ脆弱性--月例パッチリリースに合わせて明らかに

　毎月定例のセキュリティパッチのご褒美配給の日の直前に合わせたかのように脆弱性が発見されても、それに対応するのはほぼ1ヶ月後ということになる。その間、Microsoft公認で危険に曝されたままになるということだ。新しいパッチが配布する直前に新たな脆弱性を突くという今流行りの攻撃方法を、ゼロデイ攻撃という。つまり対策のパッチ配布直前だけに、対応する日がないということからゼロデイ攻撃ということになる。Officeといえば、かつてはマクロウイルスのことばかりだったが、最近はフィッシングのように、脆弱性を突くサイトに誘導する手法も取り入れられているらしい。

　脆弱性の発見の公表をすべきかどうかということでも議論がある。あまり早く公表するとそれを知った攻撃者から、パッチが当てられる前に攻撃される危険性が高まるという考え方と、パッチが出来上がるまで公表しないでおくという考え方もあるらしい。後者の場合、ユーザが知らないうちにその脆弱性を攻撃をされてしまったとすれば、たとえパッチは未対応であったとしても、脆弱性さえ公表されていればユーザ側だけでも対応のしようもあったという話も成り立つことになる。
　つまり危険さえ事前に衆知されていれば、パッチが配布されるまでの間はネットに接続しないでおくという安全策も取り得たということである。何も知らされないままで被害に遭えば、メーカー側が絵胃弱性報告の義務を怠ったからだということになる。

　なんにせよVistaに触手が伸びないのは、どうせ不具合やらバグやら脆弱性やら、安定するには最低１年くらいはかかるだろうという、これまでの経験から察せられているせいもあるようだ。