Skip to main content
MSRC

2022 年 12 月のセキュリティ更新プログラム (月例)

2022 年 12 月 13 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に、公開されたセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。

■ セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44698 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。詳細は、CVE-2022-44698 を参照してください。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44710 DirectX グラフィック カーネルの特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は確認されていません。
  • 2022 年 11 月の月例セキュリティ更新日に公開した CVE-2022-37967 に対処するための Active Directory 環境の Kerberos プロトコルにおける変更の第 2 フェーズが、予定通り実施されます。2022 年 12 月の月例更新プログラムを適用することで、すべての デバイスが既定で監査モードになります。CVE-2022-37967 の脆弱性からシステムを完全に保護するためには、すべての Windows ドメイン コントローラーでできるだけ早く監査モードの後に強制モード) に移行する必要があります。Active Directory 環境の管理者は、できるだけ早期に、強制モードに移行してください。詳細については、CVE-2022-37967 および KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 を参照ください。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 12 月セキュリティ更新プログラム リリースノートに掲載されています。

■ 2022 年 12 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

2022 年 12 月 13 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2022 年 12 月 セキュリティ更新プログラム リリースノートをご確認ください。

■ 2022 年 12 月のセキュリティ更新プログラム一覧

2022 年 12 月 13 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。

最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

製品ファミリ 最大深刻度 最も大きな影響 関連するサポート技術情報またはサポートの Web ページ
Windows 11 および v22H2 緊急 リモートでコードが実行される Windows 11 5021234 v22H2 5021255
Windows 10 v21H2, v21H1, および v20H2 緊急 リモートでコードが実行される 5021233
Windows Server 2022 (Server Core installation を含む) 緊急 リモートでコードが実行される 5021249
Windows Server 2019 , 2016 (Server Core installation を含む) 緊急 リモートでコードが実行される Windows Server 2019, 5021237 Windows Server 2016, 5021235
Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む) 緊急 リモートでコードが実行される Windows 8.1, Windows Server 2012 R2 Monthly Rollup 5021294 Security Only 5021296 Windows Server 2012 Monthly Rollup 5021285 Security Only 5021303
Microsoft Office 重要 リモートでコードが実行される セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates を参考にしてください。
Microsoft SharePoint 緊急 リモートでコードが実行される セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてください。
Microsoft .NET 重要 リモートでコードが実行される セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/dotnet を参考にしてください。
Microsoft Visual Studio 重要 リモートでコードが実行される セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/visualstudio を参考にしてください。
Microsoft Dynamics 緊急 リモートでコードが実行される https://learn.microsoft.com/dynamics を参考にしてください。
PowerShell 緊急 リモートでコードが実行される https://learn.microsoft.com/powershell を参考にしてください。
Remote Desktop client for Windows Desktop 重要 特権の昇格 https://learn.microsoft.com/windows-server/remote/remote-desktop-services/welcome-to-rds を参考にしてください。
Microsoft Azure-related software 重要 特権の昇格 https://learn.microsoft.com/azure を参考にしてください。

■ 既存の脆弱性情報の更新

2022 年 12 月 13 日 (米国時間) に、既存の脆弱性 8 件を更新しました。

CVE 変更内容
CVE-2022-37958 SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability 影響の重大度を示す CVSS 評価を情報漏えいからリモート コード実行に更新しました。 謝辞を追加しました。 これは情報のみの変更です。
CVE-2022-37967 Windows Kerberos の特権の昇格の脆弱性 マイクロソフトは、この脆弱性を解決するために、第 2 フェーズの Windows セキュリティ更新プログラムのリリースを発表しています。これらの更新プログラムでは、Windows ドメイン コントローラーを監査モードに移行することにより、Windows デバイスを監査するように Kerberos プロトコルを変更します。この更新により、すべてのデバイスは既定で監査モードになります。マイクロソフトは、この脆弱性から完全に保護するために、12 月の更新プログラムをインストールすることを強くお勧めします。更新プログラムを自動的に受信するように Windows デバイスが構成されている場合は、特別な措置を講じる必要はありません。 詳細については、「KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967」(英語情報) を参照してください。
CVE-2022-34704 Windows Defender Credential Guard の情報漏えいの脆弱性 影響を受ける製品の CVSS スコアを 1 つ以上更新しました。これは情報のみの変更です。
CVE-2022-38032 Windows Portable Device Enumerator Service のセキュリティ機能のバイパスの脆弱性 影響を受ける製品の CVSS スコアを 1 つ以上更新しました。これは情報のみの変更です。
CVE-2022-38042 Active Directory Domain Services Elevation of Privilege Vulnerability FAQ を追加しました。これは情報のみの変更です。
CVE-2022-41043 Microsoft Office の情報漏えいの脆弱性 FAQ 情報を更新しました。これは、情報のみの変更です。
CVE-2022-41078 Microsoft Exchange Server のなりすましの脆弱性 FAQ 情報を更新しました。これは、情報のみの変更です。
CVE-2022-41079 Microsoft Exchange Server のなりすましの脆弱性 FAQ 情報を更新しました。これは、情報のみの変更です。

■ 新規セキュリティ アドバイザリの公開

2022 年 12 月 13 日 (米国時間) に、新規のアドバイザリ 1 件を公開しました。

  • ADV220005 Microsoft 署名済みドライバーが悪用された場合のガイダンス
    マイクロソフトが最近受けた報告によると、脆弱性の悪用後アクティビティで、マイクロソフトの Windows ハードウェア開発者プログラムの認定を受けたドライバーが悪用されていました。マイクロソフトは調査を完了し、このアクティビティは複数の開発者プログラム アカウントの悪用に限定されており、セキュリティ侵害は確認されていないと判断しました。この脅威からお客様を保護するため、パートナー販売者のアカウントを停止し、署名のブロックを実装しました。マイクロソフトは、脆弱性の悪用後アクティビティで悪用された正規の署名済みドライバーからお客様を保護するために、影響を受ける 15 ファイルの証明書を取り消す更新プログラムをリリースし、署名のブロック を実装し (Microsoft Defender 1.377.987.0 以降)、あるパートナー販売者を停止しました。マイクロソフトは、すべてのお客様が最新の Windows 更新プログラムをインストールし、最新の署名を使用してウイルス対策製品とエンドポイント検出製品を最新の状態に保ち、こうした攻撃を防ぐことができるようにすることをお勧めしています。 詳細は、ADV220005を参照してください。

■ 既存のセキュリティ アドバイザリの更新

今月、更新された既存のセキュリティ アドバイザリはありません。

■ 既知の問題

  • 2022 年 12 月の月例更新プログラムを System Center Virtual Machine Manager (VMM) が管理する Hyper-V ホストの役割を持つ Windows Server 2022 もしくは Windows Server 2019 に適用することで、VM ネットワークに接続する新しいネットワーク アダプタ (Network Interface Card または NIC) の作成、または VM ネットワークに接続するネットワーク アダプタ 付きの新しい仮想マシン (VM) を含むワークフローでエラーが表示される場合があります。KB5021249 もしくは KB5021237 のインストール後、既存のネットワークアダプタを持つ既存の VM の接続に問題はありませんが、KB5021249 もしくは KB5021237 のインストール後に作成された新しいネットワークアダプタが影響を受けます。
    詳細については、以下を参照ください。

■ 補足情報

■ Windows 8.1 のサポート終了 について

Windows 8.1 は 2023 年 1 月 10 日にサポートが終了し、それ以降、技術サポート、および、セキュリティ更新プログラムを含むすべてのソフトウェア更新プログラムは提供されません。Windows 8.1 用の拡張セキュリティ更新プログラム (ESU) プログラムの提供はありませんせん。 2023 年 1 月 10 日以降も Windows 8.1 を引き続き使用すると、セキュリティ リスクにさらされる可能性があります。Windows 8.1 をご利用のお客様は、最新の Windows 11 へのアップグレードをご検討ください。
詳細については、Windows 8.1 サポートは 2023 年 1 月 10 日に終了しますを参照ください。

次回のセキュリティ更新プログラムのリリースは、2023 年 1 月 10 日 (米国時間) を予定しています。詳しくは、年間スケジュールを参照してください。


更新履歴:
2022/12/14 (日本時間) : ブログを公開しました。
2022/12/14 (日本時間) : ”既存の脆弱性情報の更新” および ”既知の問題” の項目を更新しました。


Related Posts