Microsoftが警告:AIによる脆弱性発見で、Windowsアップデートは次回より大規模に
Microsoftは、AIが以前より迅速かつ大量に脆弱性を検出できるようになったことで、セキュリティアップデート「Patch Tuesday」の規模が今後さらに拡大する傾向にあると発表した。先月は過去最高記録を達成している。
Windowsユーザーは、近い将来、より大規模かつ頻繁なセキュリティアップデートに直面することになるだろう。Microsoftは、ソフトウェアのセキュリティ脆弱性発見プロセスに人工知能(AI)を導入していることを確認しており、これにより問題の検出が大幅に迅速化され、かつ検出量も有意に増加したという。
この変更はすでに具体的な成果を見せている。過去の6月のPatch Tuesdayアップデートは史上最大のPatch Tuesdayとして記録され、200件以上のセキュリティ脆弱性修正パッチ(独立系情報源はMicrosoft自身の206件のCVEという数字と一致している)がリリースされた。そのうち32件は極めて重要(critical)な脆弱性であり、さらに3件はすでに公開されている(zero-day)脆弱性だった。
Microsoft Security Response Center (MSRC) のエンジニアリング担当バイスプレジデントであるTom Gallagher氏は公式ブログ投稿で、「Microsoftのエンジニアと広範なセキュリティコミュニティは、数年前には到底不可能だったほど詳細かつ頻繁にAIを使ってソフトウェアを監査しています」と述べている。このため同社は、大規模なアップデートがしばらく続く傾向にあると予測している。さらにMicrosoftは、特にAIから発生しうる新しい攻撃手法や脆弱性の形態に対応できるように、セキュア開発ライフサイクル (Secure Development Lifecycle, SDL) を改善した。
しかしMicrosoftは、今後のすべてのアップデートが常に記録を破るとは断言していないものの、脆弱性修正の総量は過去よりも増加するだろうと認めている。これは、弱点を探すためにAIを使用する開発側と、AIを攻撃ツールとして使用する悪意のある側の双方で、サイバーセキュリティ分野での競争が激化していることを反映している。
一般ユーザーにとって、これはMicrosoftが以前よりも早く脆弱性を発見・修正できるようになるため、私たちのコンピューターとソフトウェアがより安全になることを意味する。しかし、各アップデートのダウンロードとインストールには、より長い時間がかかる可能性がある。