2022 年 12 月 13 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に、公開されたセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。
なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。
■ セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44698 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。詳細は、CVE-2022-44698 を参照してください。
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44710 DirectX グラフィック カーネルの特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は確認されていません。
- 2022 年 11 月の月例セキュリティ更新日に公開した CVE-2022-37967 に対処するための Active Directory 環境の Kerberos プロトコルにおける変更の第 2 フェーズが、予定通り実施されます。2022 年 12 月の月例更新プログラムを適用することで、すべての デバイスが既定で監査モードになります。CVE-2022-37967 の脆弱性からシステムを完全に保護するためには、すべての Windows ドメイン コントローラーでできるだけ早く監査モードの後に強制モード) に移行する必要があります。Active Directory 環境の管理者は、できるだけ早期に、強制モードに移行してください。詳細については、CVE-2022-37967 および KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 を参照ください。
- セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 12 月セキュリティ更新プログラム リリースノートに掲載されています。
■ 2022 年 12 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧
2022 年 12 月 13 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2022 年 12 月 セキュリティ更新プログラム リリースノートをご確認ください。
■ 2022 年 12 月のセキュリティ更新プログラム一覧
2022 年 12 月 13 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。
最新の情報は、セキュリティ更新プログラム ガイド を確認してください。
| 製品ファミリ | 最大深刻度 | 最も大きな影響 | 関連するサポート技術情報またはサポートの Web ページ |
|---|---|---|---|
| Windows 11 および v22H2 | 緊急 | リモートでコードが実行される | Windows 11 5021234 v22H2 5021255 |
| Windows 10 v21H2, v21H1, および v20H2 | 緊急 | リモートでコードが実行される | 5021233 |
| Windows Server 2022 (Server Core installation を含む) | 緊急 | リモートでコードが実行される | 5021249 |
| Windows Server 2019 , 2016 (Server Core installation を含む) | 緊急 | リモートでコードが実行される | Windows Server 2019, 5021237 Windows Server 2016, 5021235 |
| Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む) | 緊急 | リモートでコードが実行される | Windows 8.1, Windows Server 2012 R2 Monthly Rollup 5021294 Security Only 5021296 Windows Server 2012 Monthly Rollup 5021285 Security Only 5021303 |
| Microsoft Office | 重要 | リモートでコードが実行される | セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates を参考にしてください。 |
| Microsoft SharePoint | 緊急 | リモートでコードが実行される | セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてください。 |
| Microsoft .NET | 重要 | リモートでコードが実行される | セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/dotnet を参考にしてください。 |
| Microsoft Visual Studio | 重要 | リモートでコードが実行される | セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/visualstudio を参考にしてください。 |
| Microsoft Dynamics | 緊急 | リモートでコードが実行される | https://learn.microsoft.com/dynamics を参考にしてください。 |
| PowerShell | 緊急 | リモートでコードが実行される | https://learn.microsoft.com/powershell を参考にしてください。 |
| Remote Desktop client for Windows Desktop | 重要 | 特権の昇格 | https://learn.microsoft.com/windows-server/remote/remote-desktop-services/welcome-to-rds を参考にしてください。 |
| Microsoft Azure-related software | 重要 | 特権の昇格 | https://learn.microsoft.com/azure を参考にしてください。 |
■ 既存の脆弱性情報の更新
2022 年 12 月 13 日 (米国時間) に、既存の脆弱性 8 件を更新しました。
| CVE | 変更内容 |
|---|---|
| CVE-2022-37958 SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability | 影響の重大度を示す CVSS 評価を情報漏えいからリモート コード実行に更新しました。 謝辞を追加しました。 これは情報のみの変更です。 |
| CVE-2022-37967 Windows Kerberos の特権の昇格の脆弱性 | マイクロソフトは、この脆弱性を解決するために、第 2 フェーズの Windows セキュリティ更新プログラムのリリースを発表しています。これらの更新プログラムでは、Windows ドメイン コントローラーを監査モードに移行することにより、Windows デバイスを監査するように Kerberos プロトコルを変更します。この更新により、すべてのデバイスは既定で監査モードになります。マイクロソフトは、この脆弱性から完全に保護するために、12 月の更新プログラムをインストールすることを強くお勧めします。更新プログラムを自動的に受信するように Windows デバイスが構成されている場合は、特別な措置を講じる必要はありません。 詳細については、「KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967」(英語情報) を参照してください。 |
| CVE-2022-34704 Windows Defender Credential Guard の情報漏えいの脆弱性 | 影響を受ける製品の CVSS スコアを 1 つ以上更新しました。これは情報のみの変更です。 |
| CVE-2022-38032 Windows Portable Device Enumerator Service のセキュリティ機能のバイパスの脆弱性 | 影響を受ける製品の CVSS スコアを 1 つ以上更新しました。これは情報のみの変更です。 |
| CVE-2022-38042 Active Directory Domain Services Elevation of Privilege Vulnerability | FAQ を追加しました。これは情報のみの変更です。 |
| CVE-2022-41043 Microsoft Office の情報漏えいの脆弱性 | FAQ 情報を更新しました。これは、情報のみの変更です。 |
| CVE-2022-41078 Microsoft Exchange Server のなりすましの脆弱性 | FAQ 情報を更新しました。これは、情報のみの変更です。 |
| CVE-2022-41079 Microsoft Exchange Server のなりすましの脆弱性 | FAQ 情報を更新しました。これは、情報のみの変更です。 |
■ 新規セキュリティ アドバイザリの公開
2022 年 12 月 13 日 (米国時間) に、新規のアドバイザリ 1 件を公開しました。
- ADV220005 Microsoft 署名済みドライバーが悪用された場合のガイダンス
マイクロソフトが最近受けた報告によると、脆弱性の悪用後アクティビティで、マイクロソフトの Windows ハードウェア開発者プログラムの認定を受けたドライバーが悪用されていました。マイクロソフトは調査を完了し、このアクティビティは複数の開発者プログラム アカウントの悪用に限定されており、セキュリティ侵害は確認されていないと判断しました。この脅威からお客様を保護するため、パートナー販売者のアカウントを停止し、署名のブロックを実装しました。マイクロソフトは、脆弱性の悪用後アクティビティで悪用された正規の署名済みドライバーからお客様を保護するために、影響を受ける 15 ファイルの証明書を取り消す更新プログラムをリリースし、署名のブロック を実装し (Microsoft Defender 1.377.987.0 以降)、あるパートナー販売者を停止しました。マイクロソフトは、すべてのお客様が最新の Windows 更新プログラムをインストールし、最新の署名を使用してウイルス対策製品とエンドポイント検出製品を最新の状態に保ち、こうした攻撃を防ぐことができるようにすることをお勧めしています。 詳細は、ADV220005を参照してください。
■ 既存のセキュリティ アドバイザリの更新
今月、更新された既存のセキュリティ アドバイザリはありません。
■ 既知の問題
-
2022 年 12 月の月例更新プログラムを System Center Virtual Machine Manager (VMM) が管理する Hyper-V ホストの役割を持つ Windows Server 2022 もしくは Windows Server 2019 に適用することで、VM ネットワークに接続する新しいネットワーク アダプタ (Network Interface Card または NIC) の作成、または VM ネットワークに接続するネットワーク アダプタ 付きの新しい仮想マシン (VM) を含むワークフローでエラーが表示される場合があります。KB5021249 もしくは KB5021237 のインストール後、既存のネットワークアダプタを持つ既存の VM の接続に問題はありませんが、KB5021249 もしくは KB5021237 のインストール後に作成された新しいネットワークアダプタが影響を受けます。
詳細については、以下を参照ください。
■ 補足情報
- 最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 を確認してください。
- Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択し、確認してください。または、Edge のセキュリティ リリース情報にてご確認ください。
- 各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。
- 最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。
- セキュリティ更新プログラム ガイド に更新があった場合、通知を受け取ることができます。詳しくは、ブログセキュリティ更新プログラムの通知・配信の改善 – 新しい配信方法について を参照ください。
■ Windows 8.1 のサポート終了 について
Windows 8.1 は 2023 年 1 月 10 日にサポートが終了し、それ以降、技術サポート、および、セキュリティ更新プログラムを含むすべてのソフトウェア更新プログラムは提供されません。Windows 8.1 用の拡張セキュリティ更新プログラム (ESU) プログラムの提供はありませんせん。 2023 年 1 月 10 日以降も Windows 8.1 を引き続き使用すると、セキュリティ リスクにさらされる可能性があります。Windows 8.1 をご利用のお客様は、最新の Windows 11 へのアップグレードをご検討ください。
詳細については、Windows 8.1 サポートは 2023 年 1 月 10 日に終了しますを参照ください。
次回のセキュリティ更新プログラムのリリースは、2023 年 1 月 10 日 (米国時間) を予定しています。詳しくは、年間スケジュールを参照してください。
更新履歴:
2022/12/14 (日本時間) : ブログを公開しました。
2022/12/14 (日本時間) : ”既存の脆弱性情報の更新” および ”既知の問題” の項目を更新しました。