こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人 情報処理推進機構(IPA)は8月9日、「Microsoft 製品の脆弱性対策について(2023年8月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2023年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Windows関連のプログラムに深刻度の高い脆弱性が発見されており、国のセキュリティ機関から注意喚起が出されています。マイクロソフト社製品をお使いの方は、早急に修正プログラムの適用を検討しましょう。今回、発見された脆弱性の内容と、その対策について説明します。
今回の注意喚起は、マイクロソフトが2023年8月度のセキュリティ更新プログラムを公開したことを受けたものです。注意喚起が出されている脆弱性が悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。対象となるソフトウェアは多数存在していますので、詳細はマイクロソフト社の公式ページをご確認ください。
また、CVE-2023-38180について、マイクロソフト社は「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけています。脆弱性の深刻度を表すCVSSv3の基本値は7.5で、深刻度は上から2番目に高い「重要」とされています。詳細はCVE番号、CVE-2023-38180で検索してみてください。
マイクロソフトでは、脆弱性の深刻度を正確に表すために、その脆弱性の悪用可能性として、その攻撃手法が一般に公開されているかや、悪用された事実について、脆弱性の情報と合わせて公開しています。今回の脆弱性では、攻撃手法について一般には公開されていないものの、悪用された事実は確認されているため、注意喚起に至っていると考えられます。
ちなみに、未修正の脆弱性が悪用されて、迅速にセキュリティ更新プログラムを公開する必要性がある際に、定期的なスケジュール以外の日程でも、セキュリティ更新プログラムを公開する場合もありますが、今回はマイクロソフトでそこまでの判断には至らなかったようです。
Windowsで更新プログラムがある場合は、再起動やシャットダウンをする際に、その存在を通知してくれます。更新するを選択して、Windows更新プログラムが100%完了となれば、修正プログラムが適用されていることになります。
ただし、使用しているPCが長期間にわたってオフラインになっているなどして、更新プログラムが正しくダウンロードできていなかった可能性がある場合は、Windowsの左下にあるスタートボタンをクリックして、Windows Updateと入力してエンターを押すと、ご利用中のWindowsが最新の状態であるかどうか、確認することができます。リモートワークなどでWindows Updateがうまくいっているか心配な方は、一度確認してみてはいかがでしょうか。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
