いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】Microsoft 製品の脆弱性対策について(2025年3月)

作成日: 更新日:

ITニュース概要

Microsoftが2024年3月のセキュリティ更新を公開。Windows等の多くの製品に存在する脆弱性を修正する。中には遠隔からシステムを乗っ取られる危険がある「緊急」レベルの弱点も含まれるため、Windows Update等で早急に適用することが強く推奨される。

出典: Microsoft 製品の脆弱性対策について(2025年3月) | IPA公開日:

ITニュース解説

2024年3月13日、マイクロソフト社は自社製品に関する多数のセキュリティ上の問題点を修正するための更新プログラムを公開した。これは「月例セキュリティ更新プログラム」と呼ばれ、毎月定期的に提供されるものである。システムエンジニアを目指す上で、このような更新の重要性を理解することは極めて重要である。ここで言う「セキュリティ上の問題点」とは、一般的に「脆弱性」と呼ばれる。脆弱性とは、ソフトウェアの設計やプログラムの不具合によって生じる、システムの弱点や欠陥のことである。この弱点を放置しておくと、悪意を持った第三者、すなわち攻撃者がその穴を利用してシステムに侵入し、不正な操作を行う可能性がある。例えば、重要な情報を盗み出したり、システムを停止させたり、コンピュータウイルスに感染させたりすることが可能になる。したがって、脆弱性が発見された場合、ソフトウェアの開発元が提供する修正プログラムを速やかに適用し、その弱点を塞ぐことが不可欠となる。 今回の更新で修正された脆弱性には、特に危険度が高いものが含まれている。その一つが「リモートでコードが実行される(Remote Code Execution, RCE)」脆弱性である。これは、攻撃者がインターネットなどのネットワークを経由して、遠隔から対象のコンピュータ上で任意のプログラムを自由に実行できてしまうという、非常に深刻な問題である。もしこの脆弱性を悪用されれば、攻撃者はまるでそのコンピュータの前に座って操作しているかのように、管理者権限を奪取したり、機密データを外部に送信したり、ランサムウェアと呼ばれる身代金要求型ウイルスを仕込んだりすることが可能になる。つまり、コンピュータが完全に乗っ取られてしまうリスクがある。また、「特権の昇格」と呼ばれる脆弱性も修正されている。これは、通常は制限された権限しか持たない一般ユーザーのアカウントでシステムに侵入した攻撃者が、その権限をシステムの全てを管理できる管理者(Administratorやroot)の権限に引き上げてしまうものである。一度管理者権限を奪われると、攻撃者はシステム内のあらゆる設定変更やデータの閲覧、削除が自由に行えるようになり、被害は甚大なものとなる。さらに注意すべきは、今回の更新には、修正プログラムが公開される前から既にその脆弱性を悪用した攻撃が確認されている、いわゆる「ゼロデイ脆弱性」が含まれている点だ。ゼロデイとは、対策が存在しない「0日目」に行われる攻撃を意味し、防御側が対応する術を持たないため、極めて危険度が高い。このような脆弱性が存在する場合、更新プログラムの適用は一刻を争う対応が求められる。 今回のセキュリティ更新が対象とする製品は、私たちが日常的に使用するWindows 10やWindows 11、企業でサーバーとして利用されるWindows Serverといったオペレーティングシステム(OS)だけにとどまらない。文書作成や表計算で使われるMicrosoft Office、ソフトウェア開発に用いられるVisual Studioや.NET Framework、そしてクラウド基盤であるAzure関連のサービスなど、非常に多岐にわたる。これは、システムエンジニアが管理する可能性のあるほぼ全ての領域に関わる問題であることを意味する。したがって、自身が関わるシステムにどの製品が使われているかを正確に把握し、今回の更新の対象となっていないかを確認することが、システムエンジニアとしての第一歩となる。対策の基本は、マイクロソフト社が提供するセキュリティ更新プログラムを適用することである。個人ユーザーであれば「Windows Update」機能を通じて自動的に更新されることが多いが、企業環境ではシステム管理者が「Windows Server Update Services (WSUS)」などの管理ツールを用いて、計画的に全社のコンピュータに更新プログラムを配布するのが一般的である。脆弱性の情報が公開されると、その情報を元に攻撃を試みる者が世界中で現れるため、更新プログラムの適用は可能な限り迅速に行う必要がある。 ただし、企業システムにおいては、更新プログラムを即座に全てのコンピュータに適用することが必ずしも最善とは限らない。なぜなら、更新プログラムを適用した結果、業務で利用している特定のアプリケーションが正常に動作しなくなるといった予期せぬ不具合が発生する可能性があるからだ。もし基幹システムが停止すれば、企業の事業活動に大きな影響を与えかねない。そこでシステムエンジニアは、まず本番環境と同じ構成の「テスト環境」や「検証環境」を準備し、そこで更新プログラムを適用して、既存のシステムやアプリケーションに悪影響が出ないかを事前に確認する作業を行う。この検証作業で問題がないことを確認した上で、本番環境への適用計画を立て、業務への影響が少ない夜間や休日に作業を実施する。このように、セキュリティの確保とシステムの安定稼働という二つの要求を両立させることが、システムエンジニアに求められる重要な役割である。万が一、何らかの理由ですぐに更新プログラムを適用できない場合には、マイクロソフトが提示する「回避策」や「緩和策」を実施することもある。これは、例えば特定の機能を無効にする、通信設定を変更するなどして、一時的に攻撃のリスクを低減させるための応急処置である。しかし、これは根本的な解決策ではないため、あくまで恒久的な対策である更新プログラムの適用までのつなぎとして位置づけられる。セキュリティ対策は、発見された脆弱性を一つずつ確実に塞いでいく地道な作業の繰り返しであり、継続的な情報収集と計画的で慎重な対応が不可欠なのである。

【ITニュース解説】Microsoft 製品の脆弱性対策について(2025年3月)