マイクロソフトが 5 月のセキュリティ情報公開
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・脆弱性に割り当てられた”緊急度の高さ”について
・脆弱性は計画的に対応することが求められる
今回の解説ニュース
今回の脆弱性は、Windowsなど、Microsft製品に複数の脆弱性が存在するというものです。
影響を受けるシステムは、Windows 11 10、Windows Server 2022 2019 2016などです。また、複数の脆弱性について、Microsoft社が「悪用の事実を確認済み」と公表しています。影響として、脆弱性を悪用する攻撃者によって、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性があるということです。IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを適用するよう呼びかけています。深刻度を表すCVSSv3の基本値は8.8と7.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-30040」「CVE-2024-30051」で検索してみてください。
脆弱性に割り当てられた”緊急度の高さ”について
脆弱性に割り当てられた緊急度の高さは、対応の優先度に関わります。脆弱性の緊急度は、主に攻撃の難易度と、攻撃による影響によって評価されることが一般的です。セキュラジでも引用しているCVSSv3の場合、攻撃難易度は、どこから攻撃可能であるかや、攻撃に必要な条件の複雑さや特権レベル、ユーザ関与レベルが評価されます。また、攻撃による影響は、情報セキュリティの3要素である、機密性、完全性、可用性への影響が評価されます。これらに、脆弱性による影響の広がりの評価を加え、CVSS基本値が導き出されます。