米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月9日(米国時間)、「Microsoft Releases April 2024 Security Updates |CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

  • Security Update Guide - Microsoft

    Security Update Guide - Microsoft

脆弱性が存在するプロダクト

脆弱性が存在するプロダクトは次のとおり。

  • .NET と Visual Studio
  • Azure
  • Azure AI 検索
  • Azure Arc
  • Azure Compute Gallery
  • Azure Migrate
  • Azure Monitor
  • Azure Private 5G Core
  • Azure SDK
  • Microsoft Azure Kubernetes Service
  • Microsoft Brokering File System
  • Microsoft Defender for IoT
  • Microsoft Edge (Chromium ベース)
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Office SharePoint
  • Microsoft WDAC ODBC ドライバー
  • Microsoft インストール サービス
  • SQL Server
  • SQL 用 Microsoft WDAC OLE DB プロバイダー
  • Windows BitLocker
  • Windows Cryptographic サービス
  • Windows Defender Credential Guard
  • Windows DHCP サーバー
  • Windows DWM Core ライブラリー
  • Windows HTTP.sys
  • Windows Kerberos
  • Windows Remote Access Connection Manager
  • Windows Storage
  • Windows Telephony Server
  • Windows Update Stack
  • Windows USB プリント ドライバー
  • Windows Virtual Machine Bus
  • Windows Win32K - ICOMP
  • Windows インターネット接続の共有 (ICS)
  • Windows カーネル
  • Windows セキュア ブート
  • Windows ファイル サーバー リソース管理サービス
  • Windows プロキシ ドライバー
  • Windows メッセージ キュー
  • Windows モバイル ホットスポット
  • Windows リモート プロシージャ コール
  • Windows ルーティングとリモート アクセス サービス (RRAS)
  • Windows ローカル セキュリティ機関サブシステム サービス (LSASS)
  • Windows 圧縮フォルダー
  • Windows 認証方法
  • Windows 分散ファイル システム (DFS)
  • インターネット ショートカット ファイル
  • ロール: DNS サーバー
  • ロール: Windows Hyper-V

悪用の事実を確認済み、迅速にアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、脆弱性の一部は深刻度が緊急(Critical)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は「Microsoft 製品の脆弱性対策について(2024年4月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」において、JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は「2024年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起」において、今回の累積更新プログラムで修正対象となっている脆弱性の悪用が確認されていることを指摘し、早急に対応することを推奨している。

MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合には内容を確認するとともに迅速にアップデートを適用することが望まれる。