Reading Time: 1 minutes
こんにちは、ManageEngineコンテンツ担当の園部です。
2022年3月のMicrosoftセキュリティ更新プログラムの概要を解説します。
月例のセキュリティ更新プログラムとは?
月例のセキュリティ更新プログラムとは、Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他アップデートのことを指します。この配信のことを「パッチチューズデー」などと呼ぶこともあります。
2022年3月度のMicrosoftセキュリティ更新プログラムの概要
Microsoft社は2022年3月に、71件の脆弱性に対する修正を行いました。
ゼロデイ脆弱性3件へのパッチがリリースされています。また、3件の脆弱性は「緊急(Critical)」に分類されています。
幸いにもいずれのゼロデイ脆弱性も現時点では活発に悪用されていませんが、サイバー攻撃が活発化している昨今の情勢を鑑みると、セキュリティ担当者は引き続き脆弱性にも注意する必要があります。
今月リリースされたセキュリティアップデートのラインナップは以下の通りです。
- .NET、Visual Studio
- Microsoft Defender for Endpoint
- Microsoft Edge (Chromium)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Word
- Microsoft Windows Codecs Library
- Role: Windows Hyper-V
- Windows インストーラー
- Windows カーネル
- Windows 印刷スプーラー コンポーネント
- Windows リモート デスクトップ
- Windows Update Stack
WordやMicrosoft推奨ブラウザーであるEdge、エンドポイントにおけるセキュリティ対策の要であるMicrosoft Defender for Endpointなど、エンドユーザーにも関わりのある重要なプログラムの修正が含まれています。
2022年3月に修正されたゼロデイ脆弱性
今月の月例パッチでは3つのゼロデイ脆弱性が修正されています。前述の通り、現時点では以下のいずれの脆弱性についても悪用の報告はありません。
| CVE識別番号 | 概要 |
|---|---|
| CVE-2022-21990 | リモートデスクトップクライアントのリモートコード実行の脆弱性 |
| CVE-2022-24459 | Windows Faxとスキャンサービスの特権昇格の脆弱性 |
| CVE-2022-24512 | .NET と Visual Studio のリモートコード実行の脆弱性 |
CVE-2022-21990とCVE-2022-24459は、既に概念実証が公開されています。
現時点では悪用の形跡がなくとも、今後悪用される可能性を避けるためにも早急にパッチを適用することをおすすめします。
影響度が緊急の脆弱性とパッチ
2022年3月にリリースされた重要度が「緊急」の脆弱性の概要と対応するパッチは以下の3つです。
| CVE識別番号 | KB番号 | 影響を受けるコンポーネント | 概要 |
|---|---|---|---|
| CVE-2022-22006 | – | HEVC ビデオ拡張機能 | リモートコード実行の脆弱性 |
| CVE-2022-23277 | 5010324,5012698 | Microsoft Exchange Server | リモートコード実行の脆弱性 |
| CVE-2022-24501 | – | VP9 Video 拡張機能 | リモートコード実行の脆弱性 |
サードパーティのアップデート
Google・Cisco・HPなどのベンダーが、2022年2月度の月例パッチのリリース後にアップデートをリリースしています。
サイバーセキュリティ分野で活躍する女性たち
今月のパッチチューズデーである3月8日は「国際女性デー」でした。
今回は、そんな国際女性デーにちなんで、世界のサイバーセキュリティ分野で活躍している女性をご紹介します。
- Susan Bradley氏
パッチマネジメントで有名なSusan Bradley氏は、マイクロソフト・パッチ・レディとも呼ばれ、マイクロソフトのアップデートに関わることなら何でも相談できる人と言われています。AskwoodyとCSO Onlineに寄稿しており、PatchManagement.orgのメーリングリストのモデレーターも務めています。 - Window Snyder氏
Thistle technologiesの創設者兼CEOで、Fastly・Apple・Mozilla corporationでチーフ・セキュリティ・オフィサーを務めた経験を持ちます。脅威モデリングの概念と目標についてのガイド本である「Threat Modeling」の共著者でもあります。 - Katie Moussouris氏
HackerOneの最高政策責任者として、米国政府初のバグバウンティプログラム「Hack the Pentagon」、それに続く「Hack the airforce」の立ち上げに貢献しました。フォーブスの「World’s Top 50 Women in Tech(技術分野における世界の女性トップ50)」にも選ばれています。 - Lesley Carhart氏
Dragos Inc.の産業制御セキュリティおよびデジタルフォレンジックとインシデントレスポンスのスペシャリストです。また、インフォセックのキャリアに関するブログ、サイバーセキュリティに関する質問への回答、情報セキュリティに関する質問に対する専門的なアドバイスも行っています。 - Juliette Kayyem氏
米テレビ局WGBHのポッドキャスト「Security Mom」のホストです。CNNの国家安全保障アナリスト、ピューリッツァー賞の最終候補者、The AtlanticやボストンのローカルNPR局GBHの寄稿者でもあります。また、特にCOVID-19への対応を通じて、知事、市長、企業などに危機管理についてのアドバイスをしています。
サイバーセキュリティと情報セキュリティの分野で多大な貢献をしてきた、そして今も貢献している女性たちを5名紹介しました。
各企業の現場にもこのようなセキュリティの専門家やアドバイザーがいると心強いですが、現実はそう簡単ではありません。
ManageEngineでは、高度なセキュリティの専門知識がなくても、エンドポイントのセキュリティを守ることが可能なソフトウェアを提供しています。
エンドポイントを脆弱性から保護してセキュリティを向上するためのソリューションをお探しの方は、是非ManageEngineのパッチ管理製品をご検討ください。
パッチ管理のスタートダッシュを決めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理ツール「Patch Manager Plus」
パッチ管理のほかソフトウェア配布・モバイルデバイス管理(MDM)も実施するならDesktop Central
【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】
統合エンドポイント管理ツール「Desktop Central」
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。