セキュリティの
学び場

今回の解説ニュース

深刻度の高いマイクロソフト製品の脆弱性が公開されており、IPAやJPCERT/CCからも注意喚起が出されています。ご利用中の方はセキュリティ更新プログラムの適用を検討してください。今回は、発見された脆弱性の内容と、定期的なアップデートの必要性について説明します。今回のセキュリティ情報公開は、マイクロソフトが2024年3月度のセキュリティ更新プログラムを公開したことを受けたものです。IPAやJPCERT/CCからも、本件に関する注意喚起が出されています。

これらの脆弱性が悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。対策として、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを早急に適用するよう呼びかけています。

発見された脆弱性の内容

マイクロソフト製品のセキュリティ更新プログラムは、米国時間の毎月第2火曜日に提供されています。日本時間では時差の関係で、毎月第2水曜日または第3水曜日になっています。

セキュリティ更新プログラムの内容は、脆弱性を修正するものに加え、機能強化やバグ修正などを含んだものも提供されています。自動更新を有効にしておくと、セキュリティ更新プログラムが自動的に適用されますが、Windows Updateの設定画面から手動で適用することも可能です。

注意点として、配信日当日はネットワーク混雑が予想されるため、アップデートに失敗する場合がありますので、Windows Updateが成功したか設定画面で確認することが必要です。また、更新プログラムの適用後に再起動が必要になる場合がありますので、再起動やシャットダウンをする際に、更新するオプションを選択するようにしましょう。

なお、一部の更新プログラムは互換性問題を引き起こす可能性があるので、多くのユーザが利用するサーバでは、テストをしてから本番環境に適用することが求められます。

定期的なアップデートの必要性

パソコンやスマートフォン以外に、IoT機器も最新の状態になっていることを確認することが必要です。

Wifiルーターやスマート家電など、IoT機器はインターネットに接続されているため、脆弱性が存在していれば攻撃対象となる可能性があります。2021年にMiraiと呼ばれるボットネットによる大規模なDDoS攻撃が発生しましたが、この攻撃は、脆弱性が残ったIoT機器を踏み台にして行われたものです。アップデートを行わないと、脆弱性を悪用されて、情報漏洩や乗っ取りなどの被害を受ける可能性がありますので、IoT機器もパソコンやスマートフォンと同様に、最新の状態になっていることを定期的に確認することが必要です。

アップデートはセキュリティ対策の基本として、習慣づけていくようにしましょう。先ほど説明した、パソコンやスマートフォン、IoT機器に限らず、セキュリティ対策自身もアップデートを行わないと、有効に機能しない場合があります。脆弱性を修正するだけでなく、新しい脅威へ対応するためにも、アップデートの定期的な検討を習慣づけて、互換性を保ちながら最新の状態を維持していくよう、心がけてください。