セキュリティの
学び場

今回の解説ニュース

今回の脆弱性は、Windowsなど、Microsft製品に複数の脆弱性が存在するというものです。

影響を受けるシステムは、Windows 11 10、Windows Server 2022 2019 2016などです。また、複数の脆弱性について、Microsoft社が「悪用の事実を確認済み」と公表しています。影響として、脆弱性を悪用する攻撃者によって、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを適用するよう呼びかけています。深刻度を表すCVSSv3の基本値は8.8と7.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-30040」「CVE-2024-30051」で検索してみてください。

脆弱性に割り当てられた”緊急度の高さ”について

脆弱性に割り当てられた緊急度の高さは、対応の優先度に関わります。脆弱性の緊急度は、主に攻撃の難易度と、攻撃による影響によって評価されることが一般的です。セキュラジでも引用しているCVSSv3の場合、攻撃難易度は、どこから攻撃可能であるかや、攻撃に必要な条件の複雑さや特権レベル、ユーザ関与レベルが評価されます。また、攻撃による影響は、情報セキュリティの3要素である、機密性、完全性、可用性への影響が評価されます。これらに、脆弱性による影響の広がりの評価を加え、CVSS基本値が導き出されます。

脆弱性は計画的に対応することが求められる

先ほど説明した、緊急度と優先度が連動する前提で考えた場合、悪用の事実を確認済みと発表されているものを優先して、そうではない脆弱性は計画的に対応することが求められます。

まず、先ほど説明したCVSS基本値は脆弱性そのものを評価するスコアで、より正確な緊急度を導き出すためには、脆弱性に関する現状や環境の要素も加味することが必要です。具体的には、攻撃コードや攻撃手法が実際に利用可能であるかなど現状に対する評価や、システムに求められる情報セキュリティ3要素の要求度など環境に対する評価を加えることで、脆弱性に対して、時間の経過やユーザごとに変化する要素を緊急度に反映させることができます。これらは、CVSSの現状値や環境値によって算出することが可能です。