Microsoft(マイクロソフト)はWindowsユーザーに対して米国時間9月23日リリースした緊急セキュリティ対策を実行するよう強く要請している。
同社の説明によれば、これは一部のIE(Internet Explorer)でリモートでコード実行が可能になる脆弱性が発見されたことに対処するものだという。攻撃者が作成したウェブベージを訪問したり、悪意あるメールにより攻撃者のサイトへのリンクを開くなどした場合、ユーザーのWindowsはそれと気づかぬまま乗っ取られる可能性がある。
マイクロソフトは「この脆弱性の利用が成功した場合、攻撃者はWindowsの支配権を奪うことができる」と警告している。同社によればこの脆弱性は「現に利用されている」と分類され、被害者も出ているという。ただし詳細は明らかにされていない。
最近のデータによれば、ブラウザユーザーの7%以上が脆弱性のあるIE 9/10/11を利用しているという。IEに脆弱性がある場合、それをサポートするすべてのWindows 7/8.1/10クライアントおよびWindows Serverも被害を受けることになる。
この脆弱性はJScript(マイクロソフト製のスクリプト言語)のリモート実行に関するものであるため、JScript.dllへのアクセスを制限するためマイクロソフトが公開しているコードを書き加えることでも回避できる。
マイクロソフトはWindows標準のマルウェアスキャナー「Windows Defender」もアップデートもした。IEの脆弱性が利用された場合、DoS(サービス拒否)攻撃を受けた状態となりシステム防御が正しく機能しなくなる可能性があったためという。同社ではWindows Defenderの脆弱性は修正済みでありユーザーは特に何もする必要がないとしている。
マイクロソフトが月例のアップデート以外に緊急にパッチをリリースするのは異例だが、前例がないわけではない。同社は毎月第2週の火曜日にセキュリティパッチをリリースしており、「セキュリティ・チューズデイ」と呼ばれていた。しかし重大なセキュリティ上の問題が発見された場合はこれによらず随時、緊急パッチを発行してきた。
米国の国家安全保障省は独自のアドバイザリーで危険を警告している(情報処理推進機構もパッチを適用するよう推奨)。
【Japan編集部追記】このセキュリティパッチは9月の月例Windowsアップデートには含まれておらず、別途マニュアルでダウンロードし、独立のアップデートとしてインストールする必要がある。
Windowsメニューから「システム」を開き、使用OSのバージョンを確認する。次にMicrosoftのセキュリティ・アップデートの当該ページを開き、内容を確認する。下にスクロールして「ソフトウェア更新」の一覧の「ブラットフォーム」欄で先程チェックしたバージョンに相当するパッチを選択する(「Windows 10 Version 1903 for x64-based Systems」などと表示されている)。「ダウンロード」欄をクリックし、「Microsoft Update カタログ」を開く。サーバー/クライアント、64/32で4種類のパッチが表示されるので適切なものを選び、ダウンロードする。
プログラムを開くとアップデートのインストーラーが開くので指示に従ってインストールする。最後にWindows Udateから「更新の履歴」を開き「品質更新プログラム」にさきほどのパッチが「正しくインストールされました」と表示されていることを確認する。
[原文へ]
(翻訳:滑川海彦@Facebook)