セキュリティの
学び場

今回の解説ニュース

Microsoftが2022年4月度のセキュリティ更新プログラムを公開したことを受けて、IPAとJPCERT/CCから注意喚起が発表されています。今回、修正された脆弱性の中で、特に深刻度の高い脆弱性について説明します。

今回の脆弱性は、Microsoftからリリースされている月例のセキュリティ更新プログラムで修正されています。多くのMicrosoft製品が対象となりますので、Windows Updateなどでセキュリティ更新プログラムを早急に適用しましょう。

今回、修正された脆弱性が悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。特に、CVE-2022-24521の脆弱性について、Microsoftは「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけています。

深刻度の高い特権昇格の脆弱性、CVE-2022-24521

今回の脆弱性について、特に深刻度の高いCVE-2022-24521について説明します。

CVE-2022-24521は、Windows共通ログファイルシステムドライバー、通称CLFSに特権昇格の脆弱性があることについて指摘しています。CVSSは7.8で深刻度は2番目に高い「重要」とされています。特権昇格の脆弱性とは、一般ユーザが管理者になれるような、強い権限を不正に持つことができる脆弱性です。つまり、CLFSの脆弱性があるWindowsシステムは、攻撃者やマルウェアに乗っ取られてしまう可能性があることになります。

例えば、Aさんがパソコンでインターネットを使うために必要な権限を付与されたとします。ブラウザでホームページを見るだけであれば、強い管理者の権限は不要なので、一般ユーザの権限で十分です。そのAさんが、WebメールでCLFSの脆弱性を悪用するマルウェアを開いてしまったとします。Aさんは一般ユーザの権限しか持っていませんが、マルウェアが特権昇格の脆弱性を悪用することで、攻撃者はAさんよりも強い、パソコンの管理者権限を取得することができることになります。

また、先ほど説明した通り、Microsoftはこの脆弱性について「悪用の事実を確認済み」としています。つまり、実際に攻撃者が使い始めていることになりますので、マルウェアに実装される前に対策をすることが必要です。繰り返しになりますが、Windowsをご利用中の方は、Windows Updateなどでセキュリティ更新プログラムを早急に適用することを検討してください。

脆弱性に紐づく固有の番号、CVEとは何を意味する？

CVEとは、Common Vulnerabilities and Exposuresの略で、脆弱性に固有の番号を付与することで、同じ脆弱性であると認識できるようにした事典です。脆弱性情報が様々な組織から公開された際に、同じCVE番号であれば同じ脆弱性の情報であることを示します。

日々の買い物で商品を探すときも評価や比較対象を見るのと同様に

例えば、AさんがECサイトで家具を買おうとしていたとします。まず、ユーザのレビューを見て、評価の高い家具を探すかもしれません。次に、一番評価が高かった家具が一番安い店舗を探そうとします。いいものがより安く買えたらうれしいですね。その際に、見ている評価や比較している金額が、同じ家具について書かれていないと、何の意味もありません。ただし、評価や金額は人や店舗によってまちまちですし、商品名や写真だけでは、本当に同じ家具であるかどうか判断することは難しいかもしれません。

CVEも製品型番と同じく情報を吟味し、比較する事が容易に

その際に利用できるのが製品型番です。同じ製品型番であれば同じ製品であることが保証され、評価や金額の比較も妥当性があると言えます。同様に、CVEは脆弱性に対して付与される番号で、開発元やセキュリティ専門家など、様々な組織が発表する情報がどの脆弱性に対して述べられているかについて比較することができます。深刻度の高い脆弱性ほど様々な組織から情報が発表されるため、CVEによって情報を集約することが求められます。

今回は、Microsofのセキュリティ更新プログラムとCVEの使い方について説明しました。脆弱性情報は知るだけでなく、自分の所有する情報資産に関連する情報であるか紐づけた上で、該当する脆弱性に対して適切に対応するようにしましょう。