ここから本文です

今すぐWindows 10をアプデして!NSAすら警戒するヤバい脆弱性

1/17(金) 21:30配信

ギズモード・ジャパン

教えてくれたのはいいけど、ほかにもいろいろバグを知ってそう。

MIT Technology Reviewによりますと、Windows(ウィンドウズ)10とWindows Server 2016に関する重大な脆弱性を米国国家安全保障局(NSA)が発表し、Microsoft(マイクロソフト)は火曜日には修正パッチをリリースしました。

Windowsの暗号化機能に深刻な脆弱性あり

プレスリリースを公開するという諜報機関にしては珍しい方法をとったNSAですが、同局によるとWindowsの暗号化機能に致命的な脆弱性があり、「ハッカーは暗号化されたネットワーク接続に介入し、通信相手になりすまして任意のコードを実行できる」とのこと。つまりHTTPS接続や、ファイルやメールなどのデジタル署名などのセキュリティ機能が破られ、「ユーザーモードとして署名されたコードが実行されてしまう」可能性があるそうです。

また、プレスリリースによると同局は「この脆弱性を非常に深刻と捉えている。鋭いハッカーであればこの問題をすぐに理解できるし、もし悪用されれば前述のプラットフォームは根本から無力化されるだろう」としています。しかし同時に、同局はまだこの脆弱性が悪用された証拠はないとしており、MIT Technology Reviewによると、Microsoftも同様に脆弱性が突かれたと思われる案件は確認していないそうです。

パッチ適用を最優先に

NSAのリリースには、ネットワーク管理者のための防護策、及び脆弱性を悪用されたかどうかの確認の仕方も載っており、何よりも「重要、または広く利用されているサービスを提供している端末にパッチを適用することを最優先」するよう呼びかけています。また、インターネットに直接繋がっている端末や、管理権を持っているユーザーが定期的に利用する端末も優先させるように推奨しています。

サイバーセキュリティに関するブロガーであるBrian Krebs氏は、Microsoftが暗号化に関わるモジュール「crypt32.dll」の修正を急いでいるとの噂を月曜日に報じていました。Krebs氏の情報源によると、脆弱性を利用することで、特定のソフトウェアのビルドに関わるデジタル署名を偽造でき、アタッカーはマルウェアの仕込まれたソフトウェアを正当なソフトウェアであるとユーザーに信じさせることができるそうです。NSAのサイバーセキュリティ部門部長のAnne Neuberger氏は、Microsoftがソフトウェアの欠陥の発見で、同局の名前を公に出したのは初めてだとリポーターたちに語ったとKreb氏は報じています。

1/2ページ

最終更新:1/17(金) 21:30
ギズモード・ジャパン

こんな記事も読まれています

あなたにおすすめの記事

Yahoo! JAPAN 特設ページ