いよいよ今年も終わりが近づいてきています。みなさん、今年のセキュリティはどうでしたか?
わたしは相も変わらずマイクロソフト製品やサービスの脆弱性を対応して、世の中の脆弱性を分析して過ごしました。
ということで、今年のマイクロソフト製品・サービスで修正した(公開した)脆弱性を振り返ってみましょう。
注意:この記事の内容は、公開時点(12月18日)の情報に基づいています。この後、脆弱性の修正が出た場合は統計に変更が生じます。
マイクロソフト製品サービスの脆弱性の総数
2024年、マイクロソフトは合計で1093件のマイクロソフト製品・サービスの脆弱性を修正しました(Chromiumなど、マイクロソフト以外の組織によって管理されているコンポーネントの脆弱性を除く)。
昨年は957件の脆弱性を修正しており、脆弱性の数だけを見ると、「増加」ということになります。しかし、セキュリティ研究の進展により新たな脆弱性や攻撃手法が日々発見されることや、サポートしている製品数の増減などがあるため、一概に脆弱性の数が製品の安全性を直接示すわけではありません。
それと、今年の脆弱性が増加している一つの要因としては、今年からマイクロソフトは、製品利用者が更新作業を必要としない脆弱性(主にクラウドサービスの脆弱性)についても、CVEを採番し情報を公開し始めまたことも挙げられます。(参考:Microsoft 透明性の向上に向けて : クラウドサービス の CVE の公開について ) 今年は、製品利用者が更新作業を必要としない脆弱性として、23件の脆弱性を公開しました。
製品別の脆弱性修正数を見ると、Microsoft Windows製品が676件と最も多く、次いでSQLサーバー、Microsoft Office関連製品(SharePoint含む)、AzureサービスおよびAzure管理ツールが続きます。Windowsは多岐にわたるコンポーネントを含み、製品数も多いため、脆弱性が多くなる傾向にあります。
図1: 製品カテゴリ別の脆弱性修正数
ゼロデイの状況
修正プログラムが公開されるよりも前に悪用を確認していた脆弱性(いわゆる “ゼロデイ” の脆弱性) は、26 件でした。
図2: 製品カテゴリ別のゼロデイ脆弱性の数と影響
Server製品カテゴリは、Microsoft Exchange の 1 件
Microsoft Office 製品カテゴリは、MIcrosoft Project, Microsoft Publisher のそれぞれ 1 件
悪用されるマイクロソフト製品の脆弱性の多くは、特権の昇格、セキュリティ機能のバイパス、なりすましといった種類に分類されます。この分類の脆弱性では、攻撃者はすでにユーザーのIDとパスワードを入手して認証できる状態にあるか、フィッシングなどでユーザーを騙して脆弱性を悪用します。脆弱性を利用することで、サンドボックス環境を抜け出してコードを実行したり、管理者などの高い権限を取得して目的を遂行しようとします。
今年は、Windowsのゼロデイ脆弱性が報告されたコンポーネントは多岐にわたり、特定の「注目される」コンポーネントに偏ることなく、さまざまな攻撃手法がみられました。
脆弱性を見つめていると
今回は、ざっくりと、速報版として、マイクロソフト製品・サービスでの脆弱性の統計をご紹介しました。
ちなみに、私が今年一番注目した脆弱性の悪用は CVE-2024-7971 (Chromium) と CVE-2024-21338 (Windows Kernel) です。みなさんはどれですか?
ソフトウェア・サービスの脆弱性は、新しいトピックではありません。でも、悪用された脆弱性の詳細な分析、マイクロソフト以外の製品も含めた脆弱性の分析をして、そしてそれらを毎年継続していくと、色々な事が見えてきます。
このあたりの詳細な話を書きたかったんだけど、ながーーーーーくなって終わらなくなってきたので、今日はこの辺で.... またどこかでみなさんに共有したいなと思ってますので、興味のある方はぜひその機会に色々ディスカッションしましょう。
それでは、みなさま Happy Holidays 🎁