Windows 10に2022年1月のWindows Updateを適用していない場合は注意が必要だ。2022年1月の累積更新プログラムで修正された脆弱性を悪用する概念実証(PoC: Proof of Concept)が公開されたからだ。
2022年1月の累積更新プログラムは脆弱性を修正する内容を備えていたが、同時にいくつかの不具合ももたらした。このため、管理者やユーザの中にはこの累積更新プログラムの適用を見送る向きもある。しかし、PoCが公開されたことでサイバーセキュリティ上のリスクが高くなった点に注意が必要だ。まだWindows Updateを適用していない場合には、アップデートの適用や緩和策の適用などが望まれる。
該当する脆弱性は2年前にはセキュリティ研究者によって発見されていたという。ただし、研究者は別のバグバウンティにおける支払いを待っている間はこの脆弱性は公開しないと判断。しかし、報酬が支払われるころには賞金はほぼゼロになっており、さらに研究者自身も別の仕事で忙しなくなり、この脆弱性は2年間にわたって未解決のままになっていたとされている(参考「Public Exploit Released for Windows 10 Bug|Threatpost」)。
バグバウンティプログラムは脆弱性の発見に効果的であることが広く知られている。Threatpostは、該当する脆弱性を発見した研究者がMicrosoftのバグバウンティプログラムは課題を抱えていると指摘したことを取り上げるとともに、Microsoftはバグバウンティプログラムを強化する必要があるかもしれないと指摘している。
