毎週バージョンアップするChrome

Chromeは利用率の最も高いWebブラウザです。
統計の方法と時期によってその率は異なりますが、とても多くの人が利用しています。
そして非常に高機能なブラウザですので、とても多くのプログラムコードで成り立っています。
多くの人が利用する高機能なソフトウェアですので、バグも多く存在しています。
機能的なバグも多いですが、脆弱性も多く確認されます。

現在のChromeには更新版の存在を案内する機能が搭載されています。
かつては約1か月に1回の更新が提供されるのみだったことがありました。
その後、隔週で更新が提供されるように変更されました。
そしてさらに現時点では、毎週更新が提供されるように変更されました。

これはどういう話なのでしょうか。

0-dayという言い方があります。
0-dayは、ソフトウェアに見つかったセキュリティ上の欠陥（脆弱性）のなかでも、その情報が広く公表される前や、修正プログラムがリリースされる前の脆弱性のことです。

もうひとつ、N-dayというものもあります。
N-dayは、脆弱性が発見された何らかのシステムに対して、提供された修正プログラムのリリースと、その修正プログラムが適用されるまでの時間に存在する脆弱性のことです。

0-dayに直接対策することは容易ではありません。
まだ具体的な対策が利用できる状態にないから0-dayと呼ぶわけですので、これは仕方がなさそうです。
0-dayの脆弱性の悪用によってシステムが侵害された際には、さらに別の脆弱性が悪用されるという事態がしばしば起こります。
0-dayによる侵害をより深刻なものとする原因に他の脆弱性が関連するということになります。
0-dayに直接対応することは難しいですが、システムが侵害された際にその被害を広げてしまう原因となる他の脆弱性をなるべく減らしておくというのが取れる対策といえそうです。

一方、N-dayのほうはどうでしょうか。
こちらは0-dayとは少し様子が異なりそうです。
こちらはすでに認識されている脆弱性に対応するものをいつリリースする、とか、いつ適用する、という話になります。
こちらは関連する人の裁量でリスクを下げることができそうです。
対策版のリリースサイクルを早める、これが今回のChrome開発チームの選択した作戦でした。

この取り組みにより、世の中のChromeが速やかに更新される状態となった場合どうなるでしょうか。
脅威アクターはより短い期間で脆弱性を悪用する攻撃を展開しないと攻撃が成り立たなくなりますので、攻撃の難易度が上がったといえそうです。
しかしこの想定には前提があります。
利用者がリリースされた更新をタイムリーに適用して初めてこの効能が得られます。
せっかく脆弱性に対策した新しいソフトウェアがリリースされていても、それが手元環境に適用されていなければ、攻撃を防ぐことはできません。

ソフトウェア開発者もソフトウェア利用者も、防御側チームのメンバーです。
チーム全体で脅威対策に取り組み、リスクを下げていきましょう。

参考記事（外部リンク）：An update on Chrome Security updates – shipping security
fixes to you faster
security.googleblog.com/2023/08/an-update-on-chrome-security-updates.html