Reading Time: 1 minutes
こんにちは、ManageEngineコンテンツ担当の園部です。
2022年2月のMicrosoftセキュリティ更新プログラムの概要を解説します。
月例のセキュリティ更新プログラムとは?
月例のセキュリティ更新プログラムとは、Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他アップデートのことを指します。この配信のことを「パッチチューズデー」などと呼ぶこともあります。
2022年2月度のMicrosoftセキュリティ更新プログラムの概要
Microsoft社は2022年2月に、48件の脆弱性に対する修正を行いました。
1月には100件近い大量のセキュリティ更新プログラムが配信されましたが、2月の修正はその半分程度の数となっています。また、全ての修正の緊急度は「重要」となっており、深刻度が高い「緊急」にカテゴライズされた修正はありませんでした。
しかし、パッチの数が少なく深刻度が「緊急」でなくても、油断は禁物です。
今月リリースされたセキュリティアップデートのラインナップは以下の通りです。
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Office
- Microsoft Teams
- Microsoft Windows Codecs Library
- Role: DNS Server
- Role: Windows Hyper-V
- SQL Server
- Windows Kernel
- Windows Print Spooler Components
- Windows Win32K
2月に修正されたゼロデイ脆弱性
2022年2月の月例パッチでは1つのゼロデイ脆弱性が修正されました。幸い、このゼロデイ脆弱性は悪用の報告はありません。
今月リリースされたゼロデイ脆弱性の修正は以下の通りです。
CVE識別番号 | 概要 |
---|---|
CVE-2022-21989 | Windows カーネルの特権昇格の脆弱性 |
影響度が緊急の脆弱性とパッチはなし
2022年2月にリリースされた深刻度が「緊急」の脆弱性はありません。
しかし、今月パッチが適用された脆弱性の多くで、実証実験結果やその方法が公開されています。
公開された脆弱性が今後悪用される可能性があるため、深刻度が高くなくてもできるだけ早くパッチを適用することが推奨されます。
サードパーティのアップデート
Android、Cisco、SAPなどのサードパーティベンダーが、1月以降のMicrosoft月例パッチのリリース後にアップデートをリリースしています。
今、Linuxが狙われている!?
先日、Unix系OS向けにWindowsネットワークの機能を実装するためのアプリケーションである「Samba」において、深刻な脆弱性が確認されました(詳しくはこちら)。
近年Linuxマシンを狙った攻撃が増加傾向にあると言われています。
従来、一般的に広く使用されているWindows OSが攻撃の対象となってきました。
しかし近年、各国の高度サイバー攻撃グループはLinuxマシン向けのマルウェア開発や攻撃用モジュールの開発に着手していると言われており、実際に攻撃活動が行われています。
この傾向は、多くの組織でクラウドサービスの導入が進んでいることが原因であると考えられています。
多くのクラウドサービスが稼働するサーバーのOSにLinuxが採用されているため、Linuxマシンの重要性が高まっています。
一方、各Linuxディストリビューションのベンダーも、各OSの脆弱性を狙った攻撃を防ぐために多くの修正を行っています。
2019年、Red Hat社はRed Hat Enterprise Linux(RHEL)の1000件以上の脆弱性を修正しました。
しかし、脆弱性が修正されたとしても、現在稼働しているLinuxにその修正を適用しなければ何の意味もありません。
WindowsマシンだけではなくLinuxの脆弱性も漏れなく対策するには、マルチOS・マルチベンダーでセキュリティパッチ管理を考える必要があります。
ManageEngineでは、適用すべきセキュリティパッチを自動的に照合し、パッチ配布を自動化するパッチ管理ソフトウェアを提供しています。対応しているパッチの種類は幅広く、Windows、Mac、LinuxといったOSパッチに加えて、ChromeやAdobeなど350種類以上のサードパーティ製品のパッチもまとめて管理することが可能です。
WindowsだけでなくLinuxやMacなどのマシンを脆弱性から保護して攻撃を防ぐためのソリューションをお探しの方は、是非ManageEngineのパッチ管理製品をご検討ください。
パッチ管理のスタートダッシュを決めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理のほかソフトウェア配布・モバイルデバイス管理(MDM)も実施するならDesktop Central
【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。