Windowsは、以前から脆弱性をついてサイバー攻撃の標的にされやすく、2022年米国土安全保障省が新たに15個の脆弱性を追加しました。すでに積極的に悪用されているものもあり、注意が必要です。 本記事では、Windowsの典型的なインシデント事例や、Microsoftによる対策などについて詳しく紹介します。 2022年に米国土安全保障省は、Windowsにおける以下の15個の脆弱性を追加しました。
| CVE番号 | 脆弱性内容 |
| CVE-2020-5135 | SonicWall SonicOS Buffer Overflow Vulnerability |
| CVE-2019-1405 | Microsoft Windows UPnP Service Privilege Escalation Vulnerability |
| CVE-2019-1322 | Microsoft Windows Privilege Escalation Vulnerability |
| CVE-2019-1315 | Microsoft Windows Error Reporting Manager Privilege Escalation Vulnerability |
| CVE-2019-1253 | Microsoft Windows AppX Deployment Server Privilege Escalation Vulnerability |
| CVE-2019-1129 | Microsoft Windows AppXSVC Privilege Escalation Vulnerability |
| CVE-2019-1069 | Microsoft Task Scheduler Privilege Escalation Vulnerability |
| CVE-2019-1064 | Microsoft Windows AppXSVC Privilege Escalation Vulnerability |
| CVE-2019-0841 | Microsoft Windows AppXSVC Privilege Escalation Vulnerability |
| CVE-2019-0543 | Microsoft Windows Privilege Escalation Vulnerability |
| CVE-2018-8120 | Microsoft Win32k Privilege Escalation Vulnerability |
| CVE-2017-0101 | Microsoft Windows Transaction Manager Privilege Escalation Vulnerability4/5/2022 |
| CVE-2016-3309 | Microsoft Windows Kernel Privilege Escalation Vulnerability4/5/2022 |
| CVE-2015-2546 | Microsoft Win32k Memory Corruption Vulnerability4/5/2022 |
| CVE-2019-1132 | Microsoft Win32k Privilege Escalation Vulnerability4/5/2022 |
参照元:米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency) これらの追加された脆弱性に関連がある製品やサービスは以下です。
- SonicOS
- Microsoft Task Scheduler
- Windows
- Windows AppX Deployment Server
- Windows AppX Deployment Service (AppXSVC)
- Windows Error Reporting Manager
- Windows Transaction Manager
- Windows Universal Plug and Play (UPnP)
- Windows Win32k
- Windowsカーネル
この15個の脆弱性は、すでに積極的に悪用されていることが分かっています。該当する製品やサービスを使っている場合は、速やかにアップデートをする必要があります。 また、CVEやベンダーが提供している情報も確認した方がいいでしょう。
古くからマルウェアはWindowsやOfficeなどを標的にしてきた
サイバー攻撃には、個人情報を盗む人の脆弱性を狙ったものと、多くの人が利用しているソフトウェアの脆弱性を狙ったものがあります。 ソフトウェアの脆弱性への攻撃は、昔から世界的にユーザー数の多いWindowsやOfficeが数多くターゲットになっていました。また、Windowsは定期的に脆弱性の情報を公開しているため、それらをハッカーが悪用しやすい点もあげられます。 Windowsは世界中にユーザーが多くいるため、インシデント事例は多い傾向にあります。ユーザーは常に脆弱性の情報を確認し、アップデートを行い製品やサービスを最新の状態に保つ必要があります。
Windowsにおける典型的なインシデント事例
Windowsにおける典型的なインシデント事例をいくつか紹介しましょう。 【事例1】外部に駐在していた営業部員が社内ミーティングのため、ワームに感染したノートパソコンを営業部のセグメントに接続したところ、営業部のDHCPサーバが感染しました。さらにそこから別の社員のパソコンへと感染が広がってしまいました。 【事例2】Windowsの印刷スプーラーに緊急性の高い脆弱性が見つかり、2021年には米政府が緊急指令を発する事態になりました。印刷スプーラーは、Windowsで印刷待ちをするサービスですが、この脆弱性を悪用しサーバーに不正アクセスをして、情報やデータの抜き取りなどさまざまな攻撃を仕掛けられます。 【事例3】大手企業の社員が、マルウェアが仕掛けられているメールの添付ファイルを開いたため、最大800万件の情報が流出してしまいました。また最近は大手企業や官公庁のWebサイトへの不正アクセスも増加しているため、怪しいサイトではなくても、閲覧することで、マルウェアに感染する危険性が高まっています。 不審なメールや業務に関係ないWebサイトへのアクセスが、大きな被害になるケースも少なくありません。
Windowsの脆弱性を突く攻撃について警察庁が対策実施を要請したことも
2017年には、Windowsのファイル共有に利用されるSMB(Server Message Block)プロトコルの脆弱性を悪用したEternalBlueによる被害が、日本国内でも多発しました。 EternalBlueによる攻撃は、Windowsのファイル共有などに使われるSMBプロトコルの脆弱性を悪用したもので、次のような流れで起こります。 攻撃者がネットワークを経由して脆弱性が残るWindowsのコンピューターを探し、EternalBlueを実行します。EternalBlueは、DoublePulsarというバックドアをコンピューターのメモリに仕掛けておき、そこからWannaCryなどの別のマルウェアを感染させ、被害を拡大していきます。 警察庁では、EternalBlueやDoublePulsarを使ったと見られる通信を数多く検知し、Microsoftが公開したセキュリティ更新プログラムを適用して脆弱性を修正するよう広くユーザーに対策を要請する事態に発展しました。
Microsoftによる対策
Windowsを開発、販売しているMicrosoft社でもサイバー攻撃への対策を常に行っています。
Microsoft Defenderによるマルウェア対策
Microsoft Defenderは無料で使えるセキュリティ対策用のソフトです。Windows 8から搭載されているシステムであり、マルウェアが侵入してきた場合に検知して取り除く機能などを備えています。 Microsoft Defenderには、以下のような製品があります。すべて無料で使えるわけではなく、有料のものもあり、それぞれ目的が異なります。
- Microsoft Defender ウイルス対策
- Microsoft Defender ファイアウォール
- Microsoft Defender SmartScreen
- Microsoft Defender Device Guard
- Microsoft Defender Credential Guard
- Microsoft Defender Application Guard
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft 365 Defender
Microsoft Defenderをインストールしても、マルウェア対策は万全ではありません。定期的にファイルやデータ、動画などは外付けHDDやクラウド上へバックアップを取る必要があります。
ゼロデイ攻撃への対処
Microsoft社では、ゼロデイ攻撃の対策も常に行っています。 ゼロデイ攻撃とは、ソフトウェアやOSに脆弱性が発見された場合に、修正プログラムが提供される前に攻撃を受けることをいいます。修正プログラムが提供された日を第1日目と考え、その前に攻撃を受けるためゼロデイと呼ばれます。 2021年には、WindowsのレンダリングエンジンMSHTMLで、リモートコード実行のゼロデイ脆弱性が発見されたと発表がありました。また、2022年にはMicrosoft Support Diagnostic Tool(MSDT)のゼロデイ脆弱性を公表するとともに、対策も公開しています。 MSDTのゼロデイ脆弱性は、悪意あるドキュメントが正規のMSDTを介すると、マクロを無効化していてもリモードコードの実行が可能になってしまう点です。 Wordの文書をRTFに変換して実行すると、悪意のあるコードが実行される可能性があることがわかっていますが、脆弱性発見当時はMicrosoft Defender Antivirusでは検知できませんでしたが、その後のアップデートで検知できるようになりました。
(まとめ)ユーザーが多いからこそ狙われるWindows
[PR]提供:セキュアワークス
