脆弱性が見つかるたびに、マイクロソフトはセキュリティを強化し進化を遂げてきました。その対策が破られると、さらにセキュリティを強化して進化します。
しかし逆の見方をすればセキュリティを強化しても破られている、と言うこともできます。

マイクロソフトは、セキュリティ開発ライフサイクル(SDL)という、理路整然とした仕組みを開発体制に組み込んでいるようでして、これを読む限りでは攻撃者が付け入る隙はなさそうですが、残念ながらどこかしらから破られているのは事実です。

様々な大人の事情があるのでしょうが、「どのように破られるのか」の事情の一端をうかがい知るための一つの切り口として、技術者向けにはなりますが、破られる仕組みをアセンブリレベルで体験していただく企画をCodeIQの中で数ヶ月前に始めてみました。

MsIsVulnerable

マイクロソフト製品にはデフォルトでセキュリティのための仕組みが組み込まれますが、それらをいかに破ることができるか(できたか)を体験いただけるかと思います。(中にはSDL以前の話もあります。)