【ITニュース解説】Microsoft Fixes 80 Flaws — Including SMB PrivEsc and Azure CVSS 10.0 Bugs

Microsoftは定期的に、自社が提供するソフトウェアやサービスに存在するセキュリティ上の問題点、すなわち「脆弱性」を発見し、それを修正するための更新プログラムを公開している。今回の発表もその一環であり、80個ものセキュリティ脆弱性に対する修正が提供された。システムエンジニアを目指す上で、このようなセキュリティアップデートの重要性を理解することは非常に大切だ。

そもそも脆弱性とは、ソフトウェアやシステムに存在する設計上の不備や実装ミス、設定の誤りなど、悪意のある第三者によって不正な操作をされたり、情報が盗まれたりする可能性のある弱点のことだ。もし攻撃者がこの脆弱性を発見し、悪用する方法（エクスプロイト）を見つけ出すと、システムに侵入したり、重要なデータを盗んだり、システムを破壊したりすることが可能になる。そのため、Microsoftのようなソフトウェアベンダーは常に脆弱性を探し、見つけ次第迅速に修正パッチを提供することで、ユーザーをサイバー攻撃から守ろうとしているのだ。

今回修正された80個の脆弱性のうち、8個は「Critical（緊急）」、72個は「Important（重要）」と評価されている。「Critical」とは、脆弱性が悪用された場合に、ユーザーの介入なしに、または特別な権限なしに、攻撃者が遠隔からシステムを完全に制御できる可能性が高い、最も深刻なレベルの脆弱性を指す。例えば、インターネットに接続されたパソコンに存在する「Critical」な脆弱性が悪用されれば、そのパソコンは持ち主の知らないうちに攻撃者に乗っ取られてしまうかもしれない。「Important」な脆弱性もまた重大なものであり、悪用された場合にはデータ漏洩や権限昇格、サービス停止などにつながる可能性がある。これらの深刻度の分類は、どの脆弱性から優先的に対応すべきかを判断するための重要な指標となる。

特に注目すべき脆弱性の一つに、「SMB PrivEsc」が挙げられる。SMBとは「Server Message Block」の略で、Windowsネットワーク上でファイルやプリンターの共有などを行うための通信プロトコル、つまりコンピュータ同士が情報をやり取りするためのルールのようなものだ。多くの企業や家庭で、ファイルを共有するためにこのSMBが使われている。そして「PrivEsc」とは「Privilege Escalation（権限昇格）」の略で、攻撃者が通常のユーザー権限や低い権限しか持たない状態から、不正にシステム管理者権限のような高い権限を獲得することを指す。SMBに権限昇格の脆弱性が存在するということは、例えば、社内ネットワークでファイル共有しているサーバーに対し、もしその脆弱性が悪用されれば、本来はアクセスできないはずの機密情報にアクセスしたり、サーバーの設定を勝手に変更したり、さらにはそのサーバーを完全に掌握してしまう可能性もあることを意味する。これは、企業ネットワーク全体に深刻な影響を与える可能性があるため、非常に危険な脆弱性だと言える。

もう一つ非常に深刻な脆弱性として、「Azure CVSS 10.0 Bugs」が修正されたことも報じられている。AzureはMicrosoftが提供するクラウドコンピューティングサービスで、世界中の企業がWebサイトやアプリケーション、データベースなどをAzure上で稼働させている。CVSSとは「Common Vulnerability Scoring System」の略で、脆弱性の深刻度を客観的かつ共通の基準で評価するためのシステムのことだ。スコアは0から10まであり、10が最も深刻度が高いことを示す。CVSSスコア10.0の脆弱性は、通常、ネットワークを通じて簡単に悪用でき、ユーザーの介入なしに、システムを完全に制御できる可能性を秘めている。Azureのような大規模なクラウドサービスにおいて、CVSSスコア10.0の脆弱性が存在し、それが悪用された場合、攻撃者はその脆弱性があるAzure上のシステムを完全に乗っ取ることができてしまう。これにより、顧客のデータが大量に漏洩したり、サービスが停止したり、あるいはその脆弱性を足がかりに、さらに広範囲のクラウドインフラに攻撃が拡大するような、壊滅的な被害が発生する恐れがある。クラウドサービスは多くのユーザーが利用しているため、一つの脆弱性が及ぼす影響は非常に大きい。

今回の修正対象となった脆弱性のうち、いずれも「in the wild」で悪用された「zero-day exploit」はなかったと報告されている。ここで言う「zero-day exploit」とは、脆弱性が発見され、それを修正するためのパッチが公開されるよりも前に、攻撃者がその脆弱性を利用して実際にサイバー攻撃を行ってしまうこと、あるいはそのような攻撃手法を指す。修正プログラムが提供されていないため、防御側は実質的に対策が取れない状態であり、非常に危険な攻撃だ。また、「in the wild」とは「実世界で、実際に」という意味で、実際に攻撃に利用された事例があったかどうかを示す言葉だ。今回のケースでは、修正プログラムが提供される前に実際に攻撃された事例はなかった、ということになる。これは、攻撃者が脆弱性を悪用する前にMicrosoftが修正プログラムを提供できたため、多くのシステムが被害を受けることなく済んだ、という点で良いニュースだと言える。しかし、修正プログラムの公開時点で、ある脆弱性については「publicly known」だったとされている。「publicly known」とは、その脆弱性の情報が一般に公開されていた、あるいは広く知られていた状態を指す。このような場合、攻撃者は修正パッチが公開されるまでの間に、その脆弱性を悪用する準備を進める時間があったかもしれないため、修正プログラムが提供された後も迅速な適用が重要になる。

また、今回の脆弱性のうち38個は特定の種類に関連するとされているが、その詳細な内容は記事からは読み取れない。しかし、これは特定の技術やコンポーネント、あるいは特定の開発プロセスに起因する脆弱性が多く存在することを示唆している可能性もある。システム開発においては、ある特定の領域に脆弱性が集中しないよう、設計段階からセキュリティを考慮し、網羅的なテストを行うことが重要だという教訓が得られるだろう。

システムエンジニアを目指す皆さんにとって、このようなセキュリティアップデートに関するニュースは、単なる情報としてではなく、ソフトウェア開発や運用におけるセキュリティの重要性を理解するための貴重な学びの機会となる。脆弱性の種類、その深刻度、悪用された場合の影響、そしてそれを防ぐためのベンダーやユーザーの役割など、多角的に考えることで、より安全なシステムを構築し、運用するためのスキルを磨くことができるだろう。セキュリティは、現代のITシステムにおいて最も重要な要素の一つであり、常に最新の情報を学び、適切な対策を講じる能力が求められるのだ。