セキュリティの
学び場

今回の解説ニュース

Windowsの脆弱性についてセキュリティ関連組織から注意喚起が出されています。今回、注意喚起が出された脆弱性の内容と、その対策について説明します。

今回の脆弱性は、Windows 印刷スプーラに不備があり、権限を昇格される脆弱性が存在するということです。CVE識別番号としてCVE-2022-26786が割り当てられています。

脆弱性の深刻度を表すCVSS v3.1のスコアは7.8とされており、深刻度は5段階中上から2番目の重要とされています。すでに、Windows 10を含む多くのバージョンのWindowsに対して更新プログラムが公開されているので、マイクロソフトから公開されている公式情報を参照し、適切な対策を実施するよう呼びかけてられています。

直近でも2度指摘、印刷スプーラーの脆弱性とその内容

今回、注意喚起が出されている印刷スプーラーの脆弱性である、CVE-2022-26786の内容と対策について説明します。

今回の脆弱性で対象となるソフトウェアは、Windowsの印刷スプーラーです。印刷スプーラーのサービスは、Windowsの印刷において印刷待ちを行うためのサービスです。Windowsで印刷をした際に、右下のタスクトレイにプリンタのマークを見たことがあるかもしれませんが、その中に印刷待ちのキューが入っています。

このサービスについて、直近では昨年の2021年7月と8月にも脆弱性が指摘されており、今回はそれに続く形となります。過去の脆弱性では、更新プログラムの適用に加え、印刷機能を使っていないWindowsでは、印刷スプーラーのサービスを無効化することも推奨されていました。

2度あることは3度あるではないのですが、立て続けに脆弱性が見つかるサービスやソフトウェアは根本的にプログラムの設計に問題がある場合もあり、一度更新プログラムが公開されだとしても脆弱性が十分に修正されていない場合があります。印刷スプーラーについても同様の状況であることが言えますので、ドメインコントローラーなど、特に重要なサーバで印刷機能を使っていないWindowsでは、印刷スプーラーのサービスを無効化しておくことも、今後の対策として有効になるかもしれません。

利用頻度の少ないパソコンでもWindowsの更新対応は常に行うべき？

Windowsやその他のソフトウェアの更新も定期的に対応することで、習慣化することが好ましいと考えられます。具体的な理由について説明します。

皆さんも、朝起きたら歯を磨いてシャワーを浴びたり、週に1回はカフェに行ったりするなど、毎日のルーティーンや特定の日に決めてやる習慣があるのではないでしょうか。それらを繰り返し継続していくことで、最初はつらかったり面倒だったりしたことも、次第にやらないと気持ち悪くなってしまうほどになることがあります。

Windows Updateに関して言うと、月例のセキュリティ更新プログラムは米国西海岸時間の第2火曜日の朝に提供されます。日本時間だと時差の関係で第2水曜日だったり第3水曜日だったりしますが、月に1回のWindows Updateは習慣化したほうがいいかもしれません。

その他にも、深刻度の高い脆弱性が発見された場合、マイクロソフトは緊急の更新プログラムを不定期にリリースすることがあります。Windows Updateはデフォルトで自動更新の設定がなされていますので、更新プログラムでシステムが停止するリスクを一切許容できないなど、特別な理由がない限り、意図的にWindows Updateを停止させることは避けるべきです。家のパソコンであれば、自動更新の一択と考えられます。

今回は、印刷スプーラの脆弱性と、アップデートの習慣化についてお届けしました。