マイクロソフト製品の脆弱性問題

 
Windowsの大型アップデートの影に隠れて話題性は薄かったかもしれませんが、実はマイクロソフト製品における重大な脆弱性に対応する修正プログラムも配信されていました。
独立行政法人 情報処理推進機構（IPA）でも、

2017年4月12日（日本時間）にマイクロソフト製品に関する脆弱性の修正プログラムが公表されています。これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生する可能性があります。

 
と注意を呼びかけました。
 
Microsoft社でも「悪用の事実を確認済み」と公表しており、今後被害が拡大する可能性がありますので、まだの方は速やかに修正プログラムを適用しましょう。
 
『Microsoft 製品の脆弱性対策について(2017年4月)』
（出典：2017年4月21日 独立行政法人 情報処理推進機構より）
 

脆弱性を狙ったゼロデイ攻撃

 
実は上記問題は今年１月の段階でセキュリティ会社マカフィーがこの脆弱性を突いた攻撃を確認しており、マイクロソフトに対してもその脆弱性を指摘しておりました。
 
『Microsoft Officeへの重大なゼロデイ攻撃を市販の製品で検出』
（出典：2017年4月11日マカフィー株式会社公式ブログより）
 
実際、この脆弱性に対応するプログラムが配信（アップデート）されるまでの３ヶ月以上、セキュリティの甘い穴（セキュリティホール）を突いた攻撃は続いていたことになります。いわゆるこれが『ゼロデイ攻撃』と呼ばれるもので、脆弱性が発覚してから修正プログラムが適用されるまでの空白期間を狙った攻撃です。
 
また、こういったアップデートや脆弱性情報が公開された直後は特にこういった攻撃が顕著に増加（アップデートされていないPCを狙ったもの）しますので、アップデートは早めに適用するよう心がけましょう。
 

Windows Vistaのサポート終了に伴い…

 
さて、今回Windows 10の大型アップデートと同時に「Windows Vista」のサポートが終了になっています。ようするに、今後上記のような修正プログラムが配信されなくなるということです。もちろんこれはマイクロソフト社のOSやアプリケーションのみならず、様々な各社アプリケーションや周辺機器にも当てはまる事象です。
 
更新サポートの切れたOSやアプリケーションは、攻撃者にとっては格好のターゲットとなります。
 
特に数年前の「Windows XP」含め、OSのサポート終了に関しては、使用しているパソコンやそれをつなぐネットワーク全体が危険な常態におかれることを認識しなければならなりません。たとえウイルス対策ソフトが入っていたとしても、ウイルスやマルウェアなどの感染リスクは残ります。できるだけ早い段階での最新OSへのアップデートもしくは、ハード（PC）を含めた買い替えなどの対応をおすすめします。
 
ちなみに、「Windows 7」のサポート終了は2020年1月14日に予定されています。
企業様での運用であれば、今からでも計画的に対策を立てておくとよいかもしれませんね。
 

＞＞ シーティーエスは社内PCやネットワークのセキュリティ対策もしっかりサポートいたします

 
＊＊＊＊＊＊＊＊＊