マイクロソフト製品における6つの重大な脆弱性に関する警告

これは、情報セキュリティ局（情報通信省）が3月28日に、省庁、支局、地方自治体、国有企業、銀行、金融機関の情報技術および情報セキュリティを担当するすべての部署に送信した、Microsoft製品の脆弱性に関する警告です。

情報セキュリティ局によると、今回のマイクロソフト製品の情報セキュリティ脆弱性には、Windows Hyper-V の CVE-2024-21408 脆弱性 (攻撃者によるサービス拒否 (DoS) 攻撃が可能)、Microsoft Exchange Server の CVE-2024-26198、Windows Hyper-V の CVE-2024-21407、Open Management Infrastructure (OMI) の CVE-2024-21334、Microsoft SharePoint の CVE-2024-21426、Skype for Consumer の CVE-2024-21411 などがある。

特に、Microsoft 製品に存在する 6 つの新しい脆弱性のうち、5 つは、ハッカーが悪用した場合、リモートでコードを実行できる可能性があります。

政府機関、組織、企業の情報システムのセキュリティを確保するため、情報セキュリティ局は、Windows オペレーティング システムを使用しているコンピューターが、前述の 6 つの高レベルかつ深刻な情報セキュリティの脆弱性の影響を受ける可能性があるかどうかを判断するために、各部署が検査およびレビューを行うことを推奨しています。

影響を受けた場合、部隊はハッカーによる攻撃を受けるリスクを回避するために速やかにパッチを更新する必要がある。

「各機関、組織、企業も監視業務をさらに強化し、サイバー攻撃や搾取の兆候を察知した場合の対応計画を準備する必要がある。

同時に、各部隊はサイバー攻撃のリスクを迅速に検知するために、情報セキュリティに関する当局や大規模組織の警告チャネルを定期的に監視する必要がある」と情報セキュリティ局は勧告した。

情報セキュリティ部門によると、警告された脆弱性や弱点の更新や対処に注意を払わないと、部隊のシステムが乗っ取られてサイバー攻撃を受け、評判や資産に重大な損失が生じる可能性があるという。

専門家はまた、2024年のサイバー攻撃の主な傾向として、情報セキュリティの脆弱性、特に人気の高いテクノロジー製品の高度で深刻な脆弱性を悪用し、システムに容易に侵入して組織の制御権を奪い、情報や資産を盗むことが挙げられると予測しています。

したがって、いくつかの脆弱性は、標的型攻撃 (APT) を実行するために攻撃グループによって悪用されてきましたし、現在も悪用され続けています。

情報セキュリティ部門は、危険かつ広範囲にわたる情報セキュリティの脆弱性について警告し、各省庁、支部、地方自治体にその修正方法に関するガイダンスを提供しているが、多くの部署ではまだその脆弱性の検討と対処が進んでいない。