サービスに関するお問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 マイクロソフトが 5 月のセキュリティ情報公開

マイクロソフトが 5 月のセキュリティ情報公開

マイクロソフトが 5 月のセキュリティ情報公開
目次
  • 今回の解説ニュース
  • 脆弱性に割り当てられた”緊急度の高さ”について
  • 脆弱性は計画的に対応することが求められる

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

独立行政法人 情報処理推進機構(IPA)は5月15日、「Microsoft 製品の脆弱性対策について(2024年5月)」を発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

今回の脆弱性は、Windowsなど、Microsft製品に複数の脆弱性が存在するというものです。

影響を受けるシステムは、Windows 11 10、Windows Server 2022 2019 2016などです。また、複数の脆弱性について、Microsoft社が「悪用の事実を確認済み」と公表しています。影響として、脆弱性を悪用する攻撃者によって、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを適用するよう呼びかけています。深刻度を表すCVSSv3の基本値は8.8と7.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-30040」「CVE-2024-30051」で検索してみてください。

脆弱性に割り当てられた”緊急度の高さ”について

脆弱性に割り当てられた緊急度の高さは、対応の優先度に関わります。脆弱性の緊急度は、主に攻撃の難易度と、攻撃による影響によって評価されることが一般的です。セキュラジでも引用しているCVSSv3の場合、攻撃難易度は、どこから攻撃可能であるかや、攻撃に必要な条件の複雑さや特権レベル、ユーザ関与レベルが評価されます。また、攻撃による影響は、情報セキュリティの3要素である、機密性、完全性、可用性への影響が評価されます。これらに、脆弱性による影響の広がりの評価を加え、CVSS基本値が導き出されます。

脆弱性は計画的に対応することが求められる

先ほど説明した、緊急度と優先度が連動する前提で考えた場合、悪用の事実を確認済みと発表されているものを優先して、そうではない脆弱性は計画的に対応することが求められます。

まず、先ほど説明したCVSS基本値は脆弱性そのものを評価するスコアで、より正確な緊急度を導き出すためには、脆弱性に関する現状や環境の要素も加味することが必要です。具体的には、攻撃コードや攻撃手法が実際に利用可能であるかなど現状に対する評価や、システムに求められる情報セキュリティ3要素の要求度など環境に対する評価を加えることで、脆弱性に対して、時間の経過やユーザごとに変化する要素を緊急度に反映させることができます。これらは、CVSSの現状値や環境値によって算出することが可能です。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関するお問い合わせ