02.jpg

1: 田杉山脈 ★ 2020/01/18(土) 13:57:16.79 ID:CAP_USER

MIT Technology Reviewによりますと、Windows(ウィンドウズ)10とWindows Server 2016に関する重大な脆弱性を米国国家安全保障局(NSA)が発表し、Microsoft(マイクロソフト)は火曜日には修正パッチをリリースしました。

Windowsの暗号化機能に深刻な脆弱性あり
プレスリリースを公開するという諜報機関にしては珍しい方法をとったNSAですが、同局によるとWindowsの暗号化機能に致命的な脆弱性があり、「ハッカーは暗号化されたネットワーク接続に介入し、通信相手になりすまして任意のコードを実行できる」とのこと。つまりHTTPS接続や、ファイルやメールなどのデジタル署名などのセキュリティ機能が破られ、「ユーザーモードとして署名されたコードが実行されてしまう」可能性があるそうです。

また、プレスリリースによると同局は「この脆弱性を非常に深刻と捉えている。鋭いハッカーであればこの問題をすぐに理解できるし、もし悪用されれば前述のプラットフォームは根本から無力化されるだろう」としています。しかし同時に、同局はまだこの脆弱性が悪用された証拠はないとしており、MIT Technology Reviewによると、Microsoftも同様に脆弱性が突かれたと思われる案件は確認していないそうです。

パッチ適用を最優先に
NSAのリリースには、ネットワーク管理者のための防護策、及び脆弱性を悪用されたかどうかの確認の仕方も載っており、何よりも「重要、または広く利用されているサービスを提供している端末にパッチを適用することを最優先」するよう呼びかけています。また、インターネットに直接繋がっている端末や、管理権を持っているユーザーが定期的に利用する端末も優先させるように推奨しています。

サイバーセキュリティに関するブロガーであるBrian Krebs氏は、Microsoftが暗号化に関わるモジュール「crypt32.dll」の修正を急いでいるとの噂を月曜日に報じていました。Krebs氏の情報源によると、脆弱性を利用することで、特定のソフトウェアのビルドに関わるデジタル署名を偽造でき、アタッカーはマルウェアの仕込まれたソフトウェアを正当なソフトウェアであるとユーザーに信じさせることができるそうです。NSAのサイバーセキュリティ部門部長のAnne Neuberger氏は、Microsoftがソフトウェアの欠陥の発見で、同局の名前を公に出したのは初めてだとリポーターたちに語ったとKreb氏は報じています。

今回のバグはかなり深刻だった
Windows 10やWindows Server 2016で動作している数百万のサーバーが支配される可能性を考えると、このバグの危険性はどれだけ強調しても足りません。データベースをアプリなどに提供するMongoDBのセキュリティ主任であり、Open Crypto Audio Projectの主任でもあるKenn White氏はWiredに対し、「私たちも現在分析していますが、事前の状態や状況次第では膨大な被害を産む可能性があった」とコメントしています。

また、元NSA職員で、サイバーセキュリティのトレーニングや分析を行うRendition Infosecの創業者、Jake Williams氏はTech Crunchに対し、この欠陥が政府の諜報に最適なものだとし、「端末のセキュリティをすべてバイパスできるスケルトンキーの役割になっただろう」と発言しました。またTech Crunchによると、NSAもMicrosoftも脆弱性に関しては、政府、軍、そして産業組織などにパッチが先に配布され、火曜日に一般公開されるまで徹底的に黙秘していたそうです。

今回の公表はNSA内部の改革ではないか?
これまでのNSAなら、発見したバグは記録し、後に諜報活動やサイバー国防に利用していたのですが、今回の公表は、NSA内部での改革の一部ではないかとMIT Technology Reviewは報じています。去年末、サイバーセキュリティと海外での諜報活動の足並みを揃え、政府や産業ネットワークをサイバー攻撃から守るため、NSAはCybersecurity Directorate(サイバーセキュリティ理事会)を設立しました。

また、NSAが知っていた欠陥がリークしたことで、世界中でランサムウェアが拡散したEternalBlueスキャンダルなど、同局の評判に傷が付いていたこともあり、それを少しでも挽回する意図もあったのでしょう。
以下ソース
https://www.gizmodo.jp/2020/01/stop_what_you_are_doing_and_update_windows_right_now.html

71: 名刺は切らしておりまして 2020/01/18(土) 16:44:45.98 ID:mYEguASv

渋々10にしたとたんこれか
15: 名刺は切らしておりまして 2020/01/18(土) 14:12:52.75 ID:kxadsAbh

ステマですね 分かりますw
42: 名刺は切らしておりまして 2020/01/18(土) 15:16:40.48 ID:vlOOeX8K

ネットに繋げなけりゃ問題なかろ
22: 名刺は切らしておりまして 2020/01/18(土) 14:25:26.51 ID:O1+gDt86

脆弱性の問題があるからOSをアップグレードしましょうとか言ってこれだもんね。
5: 名刺は切らしておりまして 2020/01/18(土) 14:01:58.34 ID:URI8LP0t

先日7から10に変えました。 簡単にできましたよ!
何が変わったのか全然ワカランけど。
7: 名刺は切らしておりまして 2020/01/18(土) 14:02:31.27 ID:Lmb2i2tN

某国営ハッキング部隊の良い攻撃場所だな
日本の企業や学校の情報ダダ漏れ待ったなしw
14: 名刺は切らしておりまして 2020/01/18(土) 14:09:18.46 ID:3ENHx1jw

アメリカ人、お願いだから仕事して(´・ω・`)
17: 名刺は切らしておりまして 2020/01/18(土) 14:19:33.86 ID:uF0zowUq

>>14
いまはインド人が多いらしい
9: 名刺は切らしておりまして 2020/01/18(土) 14:02:55.86 ID:Elxd+8Xd

未だにXP使ってるけど全然支障ないわ

110: 名刺は切らしておりまして 2020/01/18(土) 21:00:45.31 ID:hXvTWMK+

>>9
ネットに繋げてないならいいけど
アプリが対応しなくなったり
ブラウザも動かなくなる可能性あるぞ
24: 名刺は切らしておりまして 2020/01/18(土) 14:30:45.90 ID:AVa9R5VW

windows7用にマイクロソフトが作ったウイルスがwindows10にも影響するからアップデートをしなさいということだな。
38: 名刺は切らしておりまして 2020/01/18(土) 15:04:07.66 ID:9d7y4GZv

いつになったら「もう安全です」て日が来るんだよ
もうさ、いつもさ、どこでもさ、脆弱ですってさ、ずううっと言われ続けて20年以上使わされて来てさ
いまさら脆弱言われても麻痺してて何とも思わんわ
40: 名刺は切らしておりまして 2020/01/18(土) 15:14:19.42 ID:+4EFk/n6

やばい脆弱性パッチを当てるたびにパフォーマンス下がるのがなぁ
60: 名刺は切らしておりまして 2020/01/18(土) 16:18:28.82 ID:fitSOejk

ウイルス対策ソフト入れとけばいいでしょ
10使いにくい、7の方がいい
62: 名刺は切らしておりまして 2020/01/18(土) 16:27:58.90 ID:jS9yZchK

まぁ、個人レベルだと記事みたいに深刻じゃないとは思うけどね
ちなみにMSEはまだ7用のファイル更新されてるみたいだから、
これが停止された時は本当の意味でのサポート切れってことになるんだろう
67: 名刺は切らしておりまして 2020/01/18(土) 16:38:31.70 ID:UuKi/yP3

まあ10に強制アップグレードされたけどPCのデフォが8だったから目だったトラブルもなく動いてるね
76: 名刺は切らしておりまして 2020/01/18(土) 17:07:49.18 ID:ACoJi1mb

まあ、こういう脅しスカシしか
マイクロソフト製品の販売方法はないとわかったから
109: 名刺は切らしておりまして 2020/01/18(土) 20:58:54.25 ID:Wc8nIDuA

おおげさ(笑)世界中のPCが動作しなくなってからホラ吹けよ
115: 名刺は切らしておりまして 2020/01/18(土) 21:55:07.23 ID:m2FsNg1O

「他人のPCを乗っ取れる脆弱性が見つかったぞ!」
「どうせまたWindows10買わせるために大げさに言ってるだけだろ?」
「今度は本当にヤバいんだよ!実際に乗っ取った俺ですら簡単すぎて驚いたんだから」

$(function(){
var c = 0;
if($("div.mtpro-tweet-outer").length){
var ad = "div.mtpro-tweet-outer"
}if($(".twitter-tweet").length){
var ad = ".twitter-tweet"
}if($("div.t_h").length){
var ad = "div.t_h"
}
$(ad).each(function() {
if (c !== 0) {
if(c == 4 ){
$(this).before('

');
}
else if(c == 8 ){
$(this).before('

');
}
else if(c == 12 ){
$(this).before('

');
}
else if (c >= 16 && c%4 == 0) {
$(this).before('

');
}
}
c++;
});
});

元スレ:http://egg.5ch.net/test/read.cgi/bizplus/1579323436/

Source: 思考ちゃんねる

スポンサーリンク

Twitterでフォローしよう

おすすめの記事