マイクロソフトが皆様に情報をおたずねする理由について

概要  マイクロソフトが、セキュリティの脆弱性が存在するかどうかを評価できる前に、まず、製品の操作において、何が脆弱であるかを知る必要があります。ホーム セキュリティに例えていえば、 マイクロソフトは不法目的侵入者が住宅に侵入し、何ができる可能性があるかを考慮する前に、玄関の鍵について何が脆弱であったかを知る必要があります。

公開の有無  更新プログラムが開発される前に脆弱性の詳細が公開された場合、脆弱性が悪用されることがあります。マイクロソフトが、脆弱性を悪用する攻撃者からお客様を迅速に保護するためには、すでに脆弱性がインターネットなどで公開されているかを知る必要があります。

再現を確認した環境  マイクロソフトが製品の脆弱性の修正が可能となる前に、それが発生するタイミングおよび原因を知る必要があります。すべての調査は、発見者が使用していたような環境を、マイクロソフトのテスト環境でコンピュータをセット アップすることから開始されます。そこで脆弱性が確認されると、コンピュータの狭い範囲に影響を及ぼすものであるか、または一般的な脆弱性であるかを決定することができます。マイクロソフトは皆様のコンピュータについての識別可能な情報を要求しません。たとえば、マイクロソフトは皆様のコンピュータのシリアル番号やオペレーティング システムのプロダクト ID のような情報を必要としません。

脆弱性に関する技術的な説明  マイクロソフトが脆弱性の特定や修正を迅速に行うためには、発見者からの脆弱性に関する技術的な説明が必要になります。

再現の詳細な手順  マイクロソフトは可能な限り徹底的な調査を行なったか保証することを望みます。これを行なうためには、マイクロソフトは、脆弱性を報告してくださった発見者のコンピュータで何が発生したかを正確に再現できることが必要になります。発見者に、より正確な情報を提供していただくほど、マイクロソフトにできる調査がさらに効果的となります。

脆弱性を悪用するシナリオ  セキュリティ上の脆弱性は、脆弱性とその悪用方法の両方で構成されています。マイクロソフトのセキュリティ チームは最新の攻撃方法、また、新しい攻撃の可能性を調査しています。しかし、依然として、脆弱性がどのように悪用される可能性があるかに関して、発見者の考えをお伺いすることを望んでいます。マイクロソフトに考えつかない斬新なシナリオを発見者がお考えになっている場合もあるでしょう。