マイクロソフトでは、毎月第二火曜日を月例のセキュリティ更新日とし、さまざまな製品の脆弱性情報を公開しセキュリティ更新プログラムを提供しています。これまで 3 回にわたり、セキュリティパッチの概要を説明してきました (シリーズの連載記事はこちら)。今回は、IT 管理者の方からよく寄せられる質問を取り上げてみたいと思います。
Q.修正した脆弱性のより技術的な詳細を知りたいのですが?
A. 脆弱性を悪用する具体的な手順 (proof-of-concept など) は、安全性の理由から公開していません。公開できるすべての情報は Security Update Guide ポータルサイトの各脆弱性情報のページに記載されています。 セキュリティ更新プログラムを適用するまでの間の回避策を検討したい、正確に内容を知って悪用に備えたい、という理由などから、修正した脆弱性のより技術的な詳細を知りたいと質問されることがあります。脆弱性の詳細は明かすことができませんが、脆弱性のリスク評価やセキュリティ更新プログラムを適用するまでのリスク低減策をおこなうために、Security Update Guide ポータルサイトでは、さまざまな情報を掲載するよう努めています。たとえば、リスク評価に役立つよう、脆弱性の緊急度 (Severity Rating)、CVSS スコア、セキュリティ更新プログラム以外の回避策やリスクを低減するための緩和策を記載しています。また、セキュリティ更新プログラムを適用する際に有用な、脆弱性が含まれているコンポーネントや修正対象のモジュール、再起動の必要性などの情報も公開しています。詳細は過去のブログ [IT 管理者向け] 脆弱性の悪用のしやすさを知る~悪用可能性指標と緩和策 を参考にしてください。
Q. 「セキュリティ アドバイザリ」とは何ですか?
A. セキュリティ アドバイザリは、セキュリティについて影響のある事項について、ユーザーの皆様に適切な対応を行っていただくことを目的とした注意喚起です。 セキュリティ アドバイザリは、情報公開時に必ずしも更新プログラムが同時に公開されているとは限りません。セキュリティアドバイザリでは、セキュリティ更新プログラムや特定の脆弱性に限らず、広くユーザーの皆様に影響を与えるセキュリティに関する事項について、情報提供を行っています。
例えば、次のような場合にセキュリティアドバイザリを公開しています。
・将来的に有効化または無効化することを予定しているセキュリティ機能についてのガイダンス
マイクロソフトだけではなく業界全体としてより安全なバージョンへの移行が進められているプロトコルなど、より安全に製品やサービスを利用し続けていただくために特定の機能を無効化、あるいはより新しい機能を既定で有効化する場合があります。(例: ADV190023 | LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス) このような場合には、セキュリティアドバイザリを公開し、推奨する設定の概要や、移行に向けたタイムラインなどの情報をセキュリティアドバイザリとして公開しています。
・セキュリティ更新プログラムが提供されるよりも前に攻撃が発生している脆弱性に対するガイダンス
未修正の脆弱性の悪用が確認されている場合 (いわゆるゼロデイ攻撃が発生している場合) などは、セキュリティ更新プログラムが提供されるまでの間お客様を保護するため、推奨するアクションや回避策などを記載し暫定的な対応の実施を促しています。
・マイクロソフト製品以外の脆弱性に関するガイダンス
Adobe Flash Player、Chromium 版 Microsoft Edge、UEFI モジュール、マイクロプロセッサなど、マイクロソフトの製品やサービスではないが、マイクロソフト製品に組み込まれている、またはマイクロソフトの配信チャネルを通じて更新が配布されている場合などは、セキュリティアドバイザリを公開することがあります。
なお、セキュリティアドバイザリにてセキュリティ更新プログラムが提供されている場合、その更新プログラムが Window Update で配信されている場合もあります。その場合は、WSUS や SCCM といった更新プログラム管理ツールでも配信が可能です。(ただし、管理者による承認など追加の設定が必要になる場合もあります。参考:手順 3:WSUS で更新プログラムを承認および展開する)
Q. 日本語版の Security Update Guide、セキュリティアドバイザリ、サポート技術情報 (KB) はいつ公開されていますか?
A. Security Update Guide、セキュリティアドバイザリ、および関連する KB はすべて日本語に翻訳された情報が公開されています。 なお、月例で公開されているセキュリティ情報およびセキュリティ更新プログラムに関しては、月例のセキュリティ更新日に日本語翻訳版も同時に公開されています。 月例のセキュリティ更新日以外に公開された情報、および、すでに公開されている情報が更新された場合の差分は、数日以内に日本語翻訳版が公開されています。
Q. セキュリティ更新プログラムのファイルサイズを知りたい。
A. Microsoft Update/Windows Update で配信されている更新プログラムは、すべて Microsoft Update カタログに情報が掲載されており、そのファイルのサイズも確認することができます。
Microsoft Update カタログ : http://catalog.update.microsoft.com
確認したい更新プログラムの KB 番号を入力後、検索ボタンをクリックすると、更新プログラムの詳細が表示され、その中にファイルサイズが記載されています。なお、Windows の更新プログラムであれば、KB894199 (https://support.microsoft.com/kb/894199/) に一覧としてまとまっていますが、すべての製品のセキュリティ更新プログラムのファイルサイズをまとめたリストはありません。
また、「セキュリティ更新プログラムのファイルサイズを、リリース前に知りたい」との声をいただくこともありますが、セキュリティ上の観点から、公開日よりも前にセキュリティ更新プログラムの情報は一般に公開していません。
Q. 特定の端末において、どの更新プログラムのインストールが必要かオフラインで知る方法はありますか?MBSA というツールが以前提供されていたようですが、見当たりません。
A.すべてのセキュリティ更新プログラムをパッケージ化した Wsusscn2.cab を公開し、また必要なセキュリティ更新プログラムを分析する方法を下記に提供しています。
・Using WUA to Scan for Updates Offline
・Using WUA to Scan for Updates Offline with PowerShell
なお、以前は、Microsoft Baseline Security Analyzer (MBSA) というツールを提供していましたが、現在、このツールの開発は終了しており、Windows 10 以降の端末はサポートしていません。上記で紹介した分析方法で代替できますのでご利用ください。
Q. セキュリティ更新プログラムを適用したら問題が発生した。どのように対応したらよいでしょうか?
A. 類似の問題が既知の問題として報告されていないかを確認し、報告されていない場合は一般的なトラブルシューティング、Answers フォーラムや Microsoft サポートで解決策の相談などを行ってください。
セキュリティ更新プログラム適用後の既知の問題はすべて、更新プログラムの KB に記載されています。Windows の場合は、Windows リリース情報ページ (aka.ms/WRI) に集約されています。
Windows Update/Microsoft Update で発生する一般的な問題のトラブルシューティングは、「Windows Update エラーを修正する」や「Windows 10 の更新に関する問題のトラブルシューティング」を参照してください。それでも問題が解決しない場合は、Microsoft コミュニティAnswers フォーラム や Microsoft サポート にてご相談ください。
ぜひ、今回ご紹介した情報を参考に脆弱性や更新プログラムの情報を確認してみてください。
[サイバーセキュリティ月間 2020] シリーズの連載記事はこちらを参照してください。
セキュリティ レスポンス チーム
セキュリティ プログラム マネージャ
垣内 由梨香