【技術】今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性

1 :首都圏の虎 ★ 2020/01/17(金) 21:56:52 HDUHQu5X9.net
教えてくれたのはいいけど、ほかにもいろいろバグを知ってそう。

MIT Technology Reviewによりますと、Windows(ウィンドウズ)10とWindows Server 2016に関する重大な脆弱性を米国国家安全保障局(NSA)が発表し、Microsoft(マイクロソフト)は火曜日には修正パッチをリリースしました。

Windowsの暗号化機能に深刻な脆弱性あり

プレスリリースを公開するという諜報機関にしては珍しい方法をとったNSAですが、同局によるとWindowsの暗号化機能に致命的な脆弱性があり、「ハッカーは暗号化されたネットワーク接続に介入し、通信相手になりすまして任意のコードを実行できる」とのこと。つまりHTTPS接続や、ファイルやメールなどのデジタル署名などのセキュリティ機能が破られ、「ユーザーモードとして署名されたコードが実行されてしまう」可能性があるそうです。

また、プレスリリースによると同局は「この脆弱性を非常に深刻と捉えている。鋭いハッカーであればこの問題をすぐに理解できるし、もし悪用されれば前述のプラットフォームは根本から無力化されるだろう」としています。しかし同時に、同局はまだこの脆弱性が悪用された証拠はないとしており、MIT Technology Reviewによると、Microsoftも同様に脆弱性が突かれたと思われる案件は確認していないそうです。

パッチ適用を最優先に

NSAのリリースには、ネットワーク管理者のための防護策、及び脆弱性を悪用されたかどうかの確認の仕方も載っており、何よりも「重要、または広く利用されているサービスを提供している端末にパッチを適用することを最優先」するよう呼びかけています。また、インターネットに直接繋がっている端末や、管理権を持っているユーザーが定期的に利用する端末も優先させるように推奨しています。

サイバーセキュリティに関するブロガーであるBrian Krebs氏は、Microsoftが暗号化に関わるモジュール「crypt32.dll」の修正を急いでいるとの噂を月曜日に報じていました。Krebs氏の情報源によると、脆弱性を利用することで、特定のソフトウェアのビルドに関わるデジタル署名を偽造でき、アタッカーはマルウェアの仕込まれたソフトウェアを正当なソフトウェアであるとユーザーに信じさせることができるそうです。NSAのサイバーセキュリティ部門部長のAnne Neuberger氏は、Microsoftがソフトウェアの欠陥の発見で、同局の名前を公に出したのは初めてだとリポーターたちに語ったとKreb氏は報じています。

今回のバグはかなり深刻だった

Windows 10やWindows Server 2016で動作している数百万のサーバーが支配される可能性を考えると、このバグの危険性はどれだけ強調しても足りません。データベースをアプリなどに提供するMongoDBのセキュリティ主任であり、Open Crypto Audio Projectの主任でもあるKenn White氏はWiredに対し、「私たちも現在分析していますが、事前の状態や状況次第では膨大な被害を産む可能性があった」とコメントしています。

また、元NSA職員で、サイバーセキュリティのトレーニングや分析を行うRendition Infosecの創業者、Jake Williams氏はTech Crunchに対し、この欠陥が政府の諜報に最適なものだとし、「端末のセキュリティをすべてバイパスできるスケルトンキーの役割になっただろう」と発言しました。またTech Crunchによると、NSAもMicrosoftも脆弱性に関しては、政府、軍、そして産業組織などにパッチが先に配布され、火曜日に一般公開されるまで徹底的に黙秘していたそうです。

今回の公表はNSA内部の改革ではないか?

これまでのNSAなら、発見したバグは記録し、後に諜報活動やサイバー国防に利用していたのですが、今回の公表は、NSA内部での改革の一部ではないかとMIT Technology Reviewは報じています。去年末、サイバーセキュリティと海外での諜報活動の足並みを揃え、政府や産業ネットワークをサイバー攻撃から守るため、NSAはCybersecurity Directorate(サイバーセキュリティ理事会)を設立しました。


メリーランド州、フォート・ミードにあるNSA本部

2020.01.17 21:00 全文はソース元で
https://www.gizmodo.jp/2020/01/stop_what_you_are_doing_and_update_windows_right_now.html

2 :名無しさん@1周年 2020/01/17(金) 21:57:46 TjnxJcr+0.net
windows10から監視されるからな
3 :名無しさん@1周年 2020/01/17(金) 21:58:19 jgXnmkir0.net
なぜNASAが
6 :名無しさん@1周年 2020/01/17(金) 21:59:21 uBbI8pyB0.net
>>3
>>5
よく見ろ
NWAだろ
4 :名無しさん@1周年 2020/01/17(金) 21:58:35 uBbI8pyB0.net
コナン「パッチさんは?」
5 :名無しさん@1周年 2020/01/17(金) 21:58:38 8R+yLwx80.net
NASAが警戒するとか
7 :名無しさん@1周年 2020/01/17(金) 21:59:28 cWpswOaK0.net
そういう致命的な脆弱性が構造上存在できないプラットフォームを開発できないの?
69 :名無しさん@1周年 2020/01/17(金) 22:21:05.81 MIyHaM1Z0.net
>>7
人が作ってる以上、穴はできちゃうんだな
188 :名無しさん@1周年 2020/01/17(金) 23:30:54 0SHPISGs0.net
>>7
穴があったら挿れたくなるだろ?
男ってそういうもの。
8 :名無しさん@1周年 2020/01/17(金) 21:59:35 3vpjJU130.net
んで7のパソコン爆発した?
9 :名無しさん@1周年 2020/01/17(金) 22:00:04 zmGGAPbT0.net
OpenSSL使えば解決
10 :名無しさん@1周年 2020/01/17(金) 22:00:25 cJmZADNw0.net
結局、枯れたOSの方が頑丈なんだよ。
わかったか取引先のど素人ども。
せっかくの成人の日の連休を奪いやがって。
12 :名無しさん@1周年 2020/01/17(金) 22:00:53 dsqmLH5r0.net
アップデートしたらPCが起動しなくなったりしない?
19 :名無しさん@1周年 2020/01/17(金) 22:03:17 A58b4cT40.net
>>12
低スペックなら当然するよ。
結局買い替えになるから無駄なことせず買い替えのほうがいいよ。
23 :名無しさん@1周年 2020/01/17(金) 22:04:19 0zwOW8lE0.net
>>12
今までのアプデでそんな事は無かったが、今回初めてやられた。結局初期化した。
Windowsは3.1から使っているが初めてだわ。
82 :名無しさん@1周年 2020/01/17(金) 22:25:08.39 ONnYHiEQ0.net
>>12
8を10にしたら24時間以内にパソコン壊れた
13 :名無しさん@1周年 2020/01/17(金) 22:01:43 K+JHZ37P0.net
NSAってロズウェルのUFOの技術を使ってタイムマシンを作ったところだろ?
14 :名無しさん@1周年 2020/01/17(金) 22:02:01 vjRByTke0.net
な?
solalis使った方が良かっただろ?
15 :名無しさん@1周年 2020/01/17(金) 22:02:05 VcF+773Y0.net
見られて困るようなデータはないし、踏み台になっても困るのはよそのやつだし別にいい
このまま行けるところまでwindows7で行くわ
16 :名無しさん@1周年 2020/01/17(金) 22:02:10 qndY5iWg0.net
>>1
NSAってところが信用できないなぁ
修正パッチのふりをして世界中のWinパソにバックドア仕込もうってんじゃないの?
62 :名無しさん@1周年 2020/01/17(金) 22:18:10.51 sQ96ltEh0.net
>>16
NSAが修正パッチだす訳じゃないだろ。
105 :名無しさん@1周年 2020/01/17(金) 22:33:58 SnCdfDXQ0.net
>>16
嘘松ダメリカは長らくNSAの存在否定して
肯定したらとんでもない規模の組織だったという
17 :名無しさん@1周年 2020/01/17(金) 22:02:35 unx+aUz+0.net
パッチって、通常の「更新プログラムのチェック」で適用されるものなの?
18 :名無しさん@1周年 2020/01/17(金) 22:03:16 3WjKo1P20.net
>>17
チェックしただけで適用されるとは恐ろしいな
20 :名無しさん@1周年 2020/01/17(金) 22:03:21 cjhg+guE0.net
Windows 7の俺は高みの見物
55 :名無しさん@1周年 2020/01/17(金) 22:13:38 251g95MJ0.net
>>20
同じく
21 :名無しさん@1周年 2020/01/17(金) 22:03:33 8R+yLwx80.net
開脚画像がばら撒かれるのかしら………
25 :名無しさん@1周年 2020/01/17(金) 22:04:45 eqgsJN90.net
>>1
危険な物を売るな
27 :名無しさん@1周年 2020/01/17(金) 22:05:20 RwlvlokT0.net
だったら、Windows7で統一しろよw
まあ、MS Linuxでも良いがw
30 :名無しさん@1周年 2020/01/17(金) 22:05:41 yoYqnBNj0.net
ジャックバウアーんとこ?
31 :名無しさん@1周年 2020/01/17(金) 22:06:20 +VNJBz6W0.net
最後のアップデートしたしゆっくり切り替えしようってところにこのニュースw
33 :名無しさん@1周年 2020/01/17(金) 22:07:01 yaev9SqT0.net
うわああああ
も、もうおしまいだあーーーー
37 :名無しさん@1周年 2020/01/17(金) 22:08:05 gDDTevV+0.net
Google日本語入力が日本語入力できなくなった
39 :名無しさん@1周年 2020/01/17(金) 22:09:22 NWrkQtoE0.net
露骨すぎるようなw
引用元:http://asahi.5ch.net/test/read.cgi/newsplus/1579265812/

シェアする

  • このエントリーをはてなブックマークに追加

フォローする