マイクロソフト、2月の月例パッチ公開–悪用された脆弱性も

今回は「マイクロソフト、2月の月例パッチ公開–悪用された脆弱性も」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Microsoftは米国時間2月9日、月例セキュリティパッチ「Patch Tuesday」をリリースした。56件の脆弱性が修正されている。9日のパッチがリリースされるまでに実際に悪用されていた「Windows」の脆弱性も修正された。

　このWindowsのゼロデイ脆弱性（「CVE-2021-1732」）は、Windows OSのコアコンポーネント「Win32k」の特権昇格の脆弱性だ。

　中国のセキュリティ会社DBAPPSecurityの報告によると、このゼロデイは「Bitter」として知られる高度な脅威アクターが利用した。Bitterはこれまでにパキスタンや中国の組織と人々を狙った攻撃を行ってきたとみられている。

　2月の月例パッチでは、このゼロデイ脆弱性以外にも注目すべき点がある。パッチのリリース前に詳細が公開された脆弱性が複数あった。

　6件の脆弱性が、9日のパッチリリース前に詳細がオンラインに投稿された。

　これらの脆弱性は詳細がオンラインに投稿されたが、悪用されたものはなかったようだ。

　さらに、MicrosoftはWindowsのTCP/IPスタックの脆弱性3件についても、修正をリリースした。

　2件（「CVE-2021-24074」「CVE-2021-24094」）はリモートコード実行（RCE）の脆弱性、1件（「CVE-2021-24086」）は、サービス拒否（DoS）の脆弱性だ。

　Microsoftはブログ記事で、「RCEの脆弱性2件は複雑で、機能的なエクスプロイトを作ることが難しく、短期的に（悪用される）可能性はなさそうだ」としている。

　また、「攻撃者はDoSエクスプロイトを非常に素早く作成することが可能になるとわれわれは考えており、3件の問題すべてが、リリース後すぐにDoS攻撃に悪用される可能性があると予想される」とし、「そのため、顧客は2月のWindowsのセキュリティアップデートを迅速に適用するよう推奨する」と説明している。

　さらに、Windows DNSサーバーコンポーネントに存在するリモートコード実行の脆弱性「CVE-2021-24078」も修正された。深刻度のスコアは、10のうち9.8となっている。

　2月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。

Amazon.co.jp: ウイルスセキュリティzero

インターネット セキュリティ ウイルス対策 ソフト Mac iPhone Windows Android 対応 アンラボ V3セキュリティ 3年 6台版 5つ星のうち2.8 2 CD-ROM

ビジネス視点でセキュリティを考える 「Cisoハンドブック」が教えてくれること：半径300メートルのit ...

インシデントに強い組織を構築するために、CSIRTやCISOの設置を考える企業の中には、組織や役職を設置することが目的となり、実際に何をすればいいかが分からないケースも見受けられます。「CISOが明日から使える知識が欲しい」場合はどうすればよいのでしょうか。

インターネットと情報セキュリティの最新ニュース - INTERNET Watch

インターネット関連の最新ニュースを毎日配信。新しい技術動向やセキュリティ情報の紹介から、最新のIT業界動向、使えるサービスのリンク集まで、インターネットの“今”を伝えます

無料で受講できる「無線lanのセキュリティ入門」 総務省が開講：「サイバー攻撃の踏み台にされる懸念がある」 - ＠It

総務省は、オンライン講座「これだけは知っておきたい無線LANセキュリティ対策」を開講する。無線LANのセキュリティ対策に関する周知啓発が目的で、全11回に分けて無線LANを利用する際のリスクや、適切なセキュリティ対策の方法を動画で解説する。

Amazon.co.jp: セキュリティテープ

サンワサプライセキュリティテープ（デュアルック25mm幅・20m）LB-SLTP25. 5つ星のうち2.9 11 ￥774 ￥774. 8ポイント(1%)

入口対策だけでは不十分に【デジタルデータソリューション：セキュリティ対策調査】：EnterpriseZine ...

デジタルデータソリューションは、情報セキュリティ会社勤務および、セキュリティ対策に理解がある男女111名を対象に実施した、セキュリティ対策に関するアン...

セキュリティワイヤーを導入して盗難防止強化を｜ALSOK

セキュリティワイヤーとは、ノートパソコンを物理的にロックし、盗難・紛失を防ぐためのツールです。第三者による外部への持ち出しを防ぐためには、ワイヤーロックの導入は必要不可欠です。本記事では、重要性や導入メリットについてわかりやすく解説します。

セキュリティ設定不備で不正アクセス発生｜バンダイ

画像：株式会社バンダイより引用 株式会社バンダイは2021年1月29日、グループ会社のBANDAI SPIRITS と共同で運用するクラウド型営業管理システムに対して第三者からの不正アクセスが発生し、顧客147名の個人情報について流出

第5回 重要インフラサイバーセキュリティコンファレンス [2021年2月9日(火)] | インプレス

本コンファレンスは政府・団体及び事業者と連携しその対策について広く理解を得るための場として重要な位置けを担いながら、重要インフラを担う企業団体を中心としながら制御システムに関わる全ての関係各社がそのナレッジを共有し連携をさらに深められる場としての役割を担うイベントです。

ISMSクラウドセキュリティ認証概要解説セミナー(無料)

ISO/IEC 27017に基づくISMSクラウドセキュリティ認証開始と背景と市場動向、認証の概要(認証スキーム、適用範囲、認証範囲、認証プロセス)、管理策及び実施の手引き概要、BSIのクラウドセキュリティ認証関連サービスについてご紹介。横浜・大阪にて。

【オンライン】 Smsによる二段階認証の早期導入を実現!今取り組むべき顧客向けサービスのセキュリティ対策 ～5年連続 ...

昨今、個人情報を扱うWebサービスやアプリへの「不正アクセス」や「なりすまし」が多発しています。企業は顧客を被害者にしないためにも、「不正アクセス」「なりすまし」への対策を早急に実施する必要があります。一方で顧客の利便性も確保しなければなりません。SMS認証は、各種サービスへのログイン時にIDとパス

【セキュリティ ニュース】ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開（1ページ目 / 全2 ...

「FonixCrypter」や「Xinof」との名称でも知られるランサムウェア「Fonix」の攻撃グループが活動を停止し、暗号化に用いたマスターキーを公開した。これを受けてセキュリティベンダーでは復号ツールを公開している。：Security NEXT

情報セキュリティの重要性を全国各地でご紹介する 『中小企業のための情報セキュリティセミナー』を開催!：紀伊民報agara

2021年2月5日security action制度普及事務局（業務請負：株式会社ドゥ・クリエーション） 独立行政法人情報処理推進機構（ipa）では、中小企業が情報セキュリティ対策を身近な課題としてと...

報道資料 2021年度版 - 2月9日 - セキュリティ（防犯・警備）のセコム

セコム株式会社（本社：東京都渋谷区、社長：尾関一郎）は、参画している「デジタル通貨フォーラム」において、ウォレット（※1）のセキュリティや運用についての検討を行う「ウォレットセキュリティ分科会」の幹事として活動を開始します。

ラックのセキュリティ専門家を参集した、研究部門のオンラインセミナーを開催 「GRID Day 2021～コロナ禍に ...

2021年02月09日 18:00. ラックのセキュリティ専門家を参集した、研究部門のオンラインセミナーを開催 「GRID Day 2021～コロナ禍における研究・啓発 ...

【三井不動産事例】Dxを支えるセキュリティ基盤として、特権id管理が必要だった理由とは ｜ビジネス+It

日本を代表する不動産会社である三井不動産は、基幹システムをいち早くクラウド化した先進的な企業としても知られる。同社は現在、事業ごとに分かれているシステムの統合を目指して、セキュリティを含めた共通基盤の構築を行っているが、そこで課題となったのが特権IDの管理だった。同社がシステム統合を目指す理由は何か。特権IDの課題と解決のプロセスも含めて、プロジェクトを推進したキーパーソンに話を聞いた。

[B! セキュリティ] ASCII.jp：データ漏えいが疑われたときに取るべき6つのセキュリティステップ

ASCII.jp：データ漏えいが疑われたときに取るべき6つのセキュリティステップ. 私たちは、お気に入りのレストランでのテイクアウトの支払い、ホテルへのチェックイン、地元のコーヒー...

国内電力事業者サイバーセキュリティ対策基本枠組 ～ 電力 ISAC の取り組みの軌跡から | ScanNetSecurity

2010年ごろ、国内で制御システムセキュリティ、SCADAが話題になったことがある。きっかけのひとつがかの有名はStuxnetによるイラン核関連施設へのサイバー攻撃だ。

「2021年 サイバーセキュリティセミナーin 松江」の開催について｜公益財団法人中国地域創造研究センターのプレスリリース

公益財団法人中国地域創造研究センターのプレスリリース（2021年2月8日 10時30分）[2021年　サイバーセキュリティセミナーin 松江]の開催について

テリロジーワークス、米BitSightのセキュリティリスク簡易評価を無償提供 - クラウド Watch

株式会社テリロジーワークスは8日、米BitSight Technologies（以下、BitSight）が提供するサイバーセキュリティリスクスコアレーティングサービスに ...

DNP、指紋認証による高セキュリティなFeliCaカードを開発 | TECH+

大日本印刷（DNP）は、国内の電子マネーや社員証などで普及している非接触ICカードの技術方式「FeliCa」に対応した指紋認証による生体認証カードを開発したことを発表した。

デジタルハーツ、セキュリティ監視チーム「Dh-soc」のedr監視デバイス数が30万台突破 テレワークの加速等を背景 ...

株式会社デジタルハーツホールディングス（本社所在地：東京都新宿区、代表取締役社長CEO：玉塚元一、東証第一部：証券コード3676）の子会社である株式会社デジタル…（2021年2月9日 16時30分0秒）

セキュリティ強化 Ubuntu Core 20、一般公開 (2021年2月9日) - エキサイトニュース

Canonicalは2月2日、IoTデバイスや組み込みシステム向けのUbuntu20.04LTSをコンパクトにコンテナ化したUbuntuCore20を一般公開した。UbuntuCoreは、安全性の高い...

セキュリティエンジニア｜株式会社神戸デジタル・ラボの求人/転職/採用情報 | 想定年収400～700万円 | It ...

想定年収400～700万円の株式会社神戸デジタル・ラボのセキュリティエンジニア求人・転職・採用情報です!人事担当者より現場に詳しいコンサルタントが企業のイチオシポイントや企業の雰囲気をお伝えします!スキルアップ、年収upなど、希望に沿う求人をご提案します!

OSSのセキュリティ強化へ--グーグルが提案する"重要"プロジェクト向けルール - ZDNet Japan

グーグルが、オープンソースソフトウェアのセキュリティを守るための新たなフレームワークを提案している。「重要」なオープンソースプロジェクトを業界として守るための新たなルールも含まれている。

「Zoom」会議の背景にある物から情報漏洩も--在宅勤務でのセキュリティ - TechRepublic Japan

次のビデオ会議の前に自分の背景をチェックしてみよう。個人の名前や住所が特定できる物があれば、情報漏洩のリスクにつながる可能性があるという。

「エスクァイア Led打ち替え」☆Aquaのブログ ｜ ☆Aqua☆ セキュリティ・Ledショップのブログ - みんカラ

「エスクァイア LED打ち替え」☆AQUAのブログ記事です。自動車情報は日本最大級の自動車SNS「みんカラ」へ！

エンカレッジ・テクノロジが次世代型特権ID管理ソフトを発表｜セキュリティ｜IT製品の事例・解説記事

エンカレッジ・テクノロジは2月9日、記者会見を開き、社内外のセキュリティリスクからシステムを守る特権ID管理ソフトウェアの次世代型製品「ESS AdminONE(イーエスエスアドミンワン)」を3月上旬から販売を開始すると発表した。

デジタルハーツ、セキュリティ監視チーム「Dh-soc」のedr監視デバイス数が30万台突破 ～テレワークの加速等を ...

株式会社デジタルハーツホールディングス（本社所在地：東京都新宿区、代表取締役社長 CEO：玉塚 元一、東証第 一部：証券コード3676）の子会社である株式会社デジタルハーツ （以下、「デジタルハーツ」）は、同社のセキュリティ監視チームが提供するMDR（※1）サービスにお…