Reading Time: 1 minutes
こんにちは。ManageEngineコンテンツ担当の園部です。
2021年もついに最後の月となりました。落ち着いて年の瀬を迎えたい時期ですが、年末にもかかわらずセキュリティ脅威の話題は尽きることがありません。
今月も2021年12月度のMicrosoftセキュリティ更新プログラムの概要と、最新のサイバー攻撃の動向と対策について解説します。
月例のセキュリティ更新プログラムとは?
Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他アップデートのことを指します。
2021年12月度のMicrosoftセキュリティ更新プログラムの概要
Microsoft社は今月、67件の脆弱性に対する修正を行いました。 そのうち7件が「緊急」、60件が「重要」に分類されています。
今月リリースされた全ての修正が「緊急」または「重要」にカテゴライズされており、非常に重要なリリースと言えます。
今月リリースされたセキュリティアップデートは以下の通りです。
- ASP.NET Core & Visual Studio
- Microsoft Edge (Chromium-based)
- Microsoft Office
- Microsoft PowerShell
- Microsoft Windows Codecs Library
- Remote Desktop Client
- Role: Windows Hyper-V
- Visual Studio Code
- Windows Installer
- Windows Encrypting file system
- Windows Kernel
- Windows Media
- Windows NTFS
- Windows Print Spooler Components
- Windows Mobile Device Management
12月に修正されたゼロデイ脆弱性
今月の月例パッチでは6つのゼロデイ脆弱性が修正されていますが、そのうちの1つの脆弱性は残念ながら既に悪用されているとの報告があります。
今月リリースされたゼロデイ脆弱性の修正は以下の通りです。
| CVE識別番号 | 概要 | 備考 |
|---|---|---|
| CVE-2021-41333 | Windows Print Spooler の特権昇格の脆弱性 | – |
| CVE-2021-43240 | NTFS Set Short Name Elevation of Privilege の脆弱性 | – |
| CVE-2021-43880 | Windows Mobile Device Management の特権昇格の脆弱性 | – |
| CVE-2021-43883 | Windows Installer の特権昇格の脆弱性 | – |
| CVE-2021-43890 | Windows AppX インストーラ偽装の脆弱性 | ※悪用の報告あり。Emotet・TrickBot・BazarLoader などの様々なマルウェア配布で既に使用されています |
| CVE-2021-43893 | Windows Encrypting File System (EFS) 権限昇格の脆弱性 | – |
影響度が緊急の脆弱性とパッチ
2021年12月にリリースされた重要度が「緊急」の脆弱性の概要と対応するパッチは以下の7つです。
今月は、多くのユーザーが使用するアプリケーションであるOfficeの修正も配信されました。
| CVE識別番号 | KB番号 | 影響を受けるコンポーネント | 概要 |
|---|---|---|---|
| CVE-2021-42310 | – | マイクロソフト Defender for IoT | リモートコード実行の脆弱性 |
| CVE-2021-43215 | 5008206,5008207 5008212,5008218 5008230,5008244 5008255,5008263 5008263,5008271 5008274,5008277 5008282,5008285 |
インターネットストレージ名サービス | iSNSサーバーのメモリ破壊の脆弱性によるリモートコード実行 |
| CVE-2021-43217 | 5008206,5008206 5008207,5008212 5008215,5008218 5008223,5008230 5008244,5008255 5008263,5008271 5008274,5008277 5008282,5008285 |
Windows 暗号化ファイルシステム(EFS) | リモートコード実行の脆弱性 |
| CVE-2021-43233 | 5008206,5008206 5008207,5008212 5008215,5008218 5008223,5008230 5008244,5008255 5008263,5008277 5008282,5008285 |
リモートデスクトップクライアント | リモートコード実行の脆弱性 |
| CVE-2021-43899 | – | マイクロソフトのデバイス | Microsoft 4K ワイヤレスディスプレイアダプタのリモートコード実行の脆弱性 |
| CVE-2021-43905 | – | Microsoft Office | リモートコード実行の脆弱性 |
| CVE-2021-43907 | – | Visual Studio Code – WSL Extension | リモートコード実行の脆弱性 |
サードパーティのアップデート
Android・Cisco・Apple・SAP・VMwareなどのサードパーティベンダーが、2021年11月度の月例パッチのリリース後にアップデートをリリースしています。
また、Apache Log4jのセキュリティアドバイザリもこの1週間で複数リリースされています。
危険な脆弱性からサーバーを守るには
今月2021年12月10日、「Apache Log4j」と呼ばれるJavaベースのロギングユーティリティに致命的な脆弱性が発見されました。この脆弱性は「Log4Shell」とも呼ばれています。
この脆弱性を悪用すると、サーバー上で任意のコードを簡単に実行することができてしまいます。
このLog4jはさまざまなアプリケーションに組み込まれて利用されていると言われており、影響度が深刻であることから、CVSS(Common Vulnerability Scoring System)の深刻度は10(最大)に指定されています。
既に世界中でこの脆弱性を使用した攻撃が報告されており、日本国内も例外ではありません。
Log4jの管理元であるApache Software Foundationは、この脆弱性に対応したLog4jの新バージョン「Apache Log4j 2.17.0」を公開(2021/12/20現在)しており、今後Log4jを使用するアプリケーションやソフトウェアの開発元などからこの最新版を含むアプリケーションの最新バージョンが相次いでリリースされることが予想されます。
※Log4jとその脆弱性に関する詳しい情報はこちらの記事をご覧ください:
脆弱性が発見されたLog4jとは?機能から脆弱性対策まで徹底解説
危険な脆弱性からサーバーを守るためには、配布されたパッチや最新のアップデートを迅速に、かつ漏れなく適用することが重要です。
ManageEngineでは、パッチ配布の自動化や欠落しているセキュリティパッチを把握して適用する機能を備えたパッチ管理ソフトウェアを提供しています。
サーバーを脆弱性から保護するためのソリューションをお探しの方は、是非ManageEngineのパッチ管理製品をご検討ください。
パッチ管理のスタートダッシュを決めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理ツール「Patch Manager Plus」
パッチ管理のほかソフトウェア配布・モバイルデバイス管理(MDM)も実施するならDesktop Central
【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】
統合エンドポイント管理ツール「Desktop Central」
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。