セキュリティの
学び場

今回の解説ニュース

Windows関連のプログラムに深刻度の高い脆弱性が発見されており、国のセキュリティ機関から注意喚起が出されています。マイクロソフト社製品をお使いの方は、早急に修正プログラムの適用を検討しましょう。今回、発見された脆弱性の内容と、その対策について説明します。

今回の注意喚起は、マイクロソフトが2023年8月度のセキュリティ更新プログラムを公開したことを受けたものです。注意喚起が出されている脆弱性が悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。対象となるソフトウェアは多数存在していますので、詳細はマイクロソフト社の公式ページをご確認ください。

また、CVE-2023-38180について、マイクロソフト社は「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけています。脆弱性の深刻度を表すCVSSv3の基本値は7.5で、深刻度は上から2番目に高い「重要」とされています。詳細はCVE番号、CVE-2023-38180で検索してみてください。

「脆弱性の悪用可能性」とは

マイクロソフトでは、脆弱性の深刻度を正確に表すために、その脆弱性の悪用可能性として、その攻撃手法が一般に公開されているかや、悪用された事実について、脆弱性の情報と合わせて公開しています。今回の脆弱性では、攻撃手法について一般には公開されていないものの、悪用された事実は確認されているため、注意喚起に至っていると考えられます。

ちなみに、未修正の脆弱性が悪用されて、迅速にセキュリティ更新プログラムを公開する必要性がある際に、定期的なスケジュール以外の日程でも、セキュリティ更新プログラムを公開する場合もありますが、今回はマイクロソフトでそこまでの判断には至らなかったようです。

「修正プログラムを適用する」とは

Windowsで更新プログラムがある場合は、再起動やシャットダウンをする際に、その存在を通知してくれます。更新するを選択して、Windows更新プログラムが100%完了となれば、修正プログラムが適用されていることになります。

ただし、使用しているPCが長期間にわたってオフラインになっているなどして、更新プログラムが正しくダウンロードできていなかった可能性がある場合は、Windowsの左下にあるスタートボタンをクリックして、Windows Updateと入力してエンターを押すと、ご利用中のWindowsが最新の状態であるかどうか、確認することができます。リモートワークなどでWindows Updateがうまくいっているか心配な方は、一度確認してみてはいかがでしょうか。