【Windows Update】Microsoft、2022年5月のセキュリティ更新プログラムを公開！

Microsoftは2022年5月11日(日本時間)、2022年5月の月例Windows UpdateとしてWindowsをはじめとしたセキュリティ更新プログラムを公開しました。セキュリティ脆弱性などの更新が含まれているので、Windows PCをお使いのユーザーは、なるべく早くアップデートを行いましょう。

今月のセキュリティ更新プログラムでは、Windowsのセキュリティ更新やバグ修正に関する計12件（緊急6件、重要6件）の新規セキュリティ情報を公開しています。

また、新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 3 件と、セキュリティアドバイザリ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」「悪意のあるソフトウェアの削除ツール」では、このツールで削除できる悪意のあるソフトウェアが追加されています。詳細は、対象のマルウェアファミリを参照してください。

Windowsユーザーはできるだけ早く、2022年5月の公開セキュリティ更新プログラムを適用することが推奨されます。

今回、2022年5月11日(日本時間)公開のWindows Updateでセキュリティ更新プログラムを公開したMicrosoftの製品、コンポーネントは以下の通りです。

.NET と Visual Studio
Microsoft Exchange Server
Microsoft Graphics コンポーネント
Microsoft Local Security Authority Server (lsasrv)
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
リモートデスクトップクライアント
ロール: Windows Fax サービス
ロール: Windows Hyper-V
セルフホステッド Integration Runtime
タブレット用の Windows ユーザーインターフェイス
Visual Studio
Visual Studio Code
Windows Active Directory
Windows アドレス帳
Windows 認証方法
Windows BitLocker
Windows クラスター共有ボリューム (CSV)
Windows Failover Cluster Automation Server
Windows Kerberos
Windows カーネル
Windows LDAP – ライトウェイトディレクトリアクセスプロトコル
Windows Media
Windows ネットワークファイルシステム
Windows NTFS
Windows Point-to-Point Tunneling プロトコル
Windows 印刷スプーラーコンポーネント
Windows プッシュ通知
Windows Remote Access Connection Manager
Windows リモートデスクトップ
Windows リモートプロシージャコールランタイム
Windows Server Service
Windows Storage Spaces Controller
Windows WLAN Auto Config Service

セキュリティ更新プログラム、セキュリティアドバイザリに関する主な注意点

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-26925 Windows LSA のなりすましの脆弱性は、既に脆弱性の悪用が行われていることを確認しています。また、この脆弱性については、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-26925 を参照してください。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-22713 (Windows Hyper-V) は、脆弱性の悪用は確認されていませんが、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-22713 を参照してください。
CVE-2022-22012 (Windows LDAP) 、CVE-2022-29130 (Windows LDAP) 、CVE-2022-26937 (Microsoft ネットワークファイルシステム) は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。
Microsoft Exchange の脆弱性 CVE-2022-21978 からシステムを保護するためには、セキュリティ更新プログラムの適用に加え、追加の作業を実施する必要があります。 Microsoft Exchangeの管理者は、CVE-2022-21978 および Microsoft Exchange チームブログ Released: May 2022 Exchange Server Security Updatesを参照し、必要な作業を実施してください。
2022 年 5 月のセキュリティ更新プログラムを展開する際のガイダンスは、2022 年 5 月のセキュリティ更新プログラムの展開に関するサポート技術情報も併せてご参照ください。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 5 月セキュリティ更新プログラムリリースノートに掲載されています。
[5/11 追記] 今月のセキュリティ更新プログラムで修正した脆弱性 CVE-2022-26931 および CVE-2022-26923 は、Active Directory 環境における証明書ベースの認証動作に存在する特権昇格の問題です。2022 年 5 月のセキュリティ更新プログラムを適用することで、”互換モード (Compatibility Mode)” になります。このモードでは、従来通り証明書ベースの認証は動作しますが、認証時に監査ログが記録されます。脆弱性からシステムを保護するためには、KDCでレジストリを変更し、証明書ベースの認証を強化する必要があります。証明書ベースの認証を強化は、2023 年 5 月のセキュリティ更新日までに、設定を強化する更新プログラムを配信する予定です。Active Directory 環境をご利用のお客様は、早急にサポート技術情報 KB5014754—Certificate-based authentication changes on Windows domain controllers を参照し、自組織内の影響を確認したうえで、証明書ベースの認証を強化を実施してください。

2022年5月のセキュリティ更新プログラム

Microsoftが2022年5月11日（日本時間）に更新した新しいセキュリティ更新プログラムとして下記の項目が公開されています。
最新の情報は、セキュリティ更新プログラムガイドを確認してください。

最大深刻度「緊急」のセキュリティ更新情報

製品ファミリ：Windows 11

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5013943

製品ファミリ：Windows 10 v21H2, v21H1, v20H2,およびv1909

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 10 21H2 , 21H1 ,20H2 5013942 Windows 10 1909 , 5013945

製品ファミリ：Windows Server 2022 (Server Core installationを含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5013944

製品ファミリ：Windows Server 2019 , 2016, v20 H2 (Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows Server 2019 , 5013941 Windows Server 2016 , 5013952

製品ファミリ：Windows 8.1, Windows Server 2012 R2, Windows Server 2012(Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 8.1, Windows Server 2012 R2 Monthly Rollup 5014011 Security Only 5014001 Windows Server 2012 Monthly Rollup 5014017 Security Only 5014018

製品ファミリ：Remote Desktop client for Windows Desktop

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/windows-server/remote/remote-desktop-services/clients/windowsdesktop を参考にしてください。

最大深刻度「重要」のセキュリティ更新情報

製品ファミリ：Microsoft Office

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよびhttps://docs.microsoft.com/officeupdates を参考にしてください。

製品ファミリ：Microsoft SharePoint

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよびhttps://docs.microsoft.com/ja-jp/SharePoint/ を参考にしてください。

製品ファミリ：Microsoft Exchange Server

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/exchangeを参考にしてください。

製品ファミリ：Microsoft .NET

■最も大きな影響を受ける内容
サービス拒否
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/dotnet を参考にしてください。

製品ファミリ：Microsoft Visual Studio

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/visualstudio を参考にしてください。

製品ファミリ：Self-hosted Integration Runtime

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび MICROSOFT INTEGRATION RUNTIME – RELEASE NOTESを参考にしてください。

既存の脆弱性情報の更新

Microsoftが2022年5月11日（日本時間）に更新した既存のセキュリティ脆弱性（3件）は次の通りです。

CVE-2022-24513 Visual Studio の特権の昇格の脆弱性
CVE-2022-24513 に包括的に対処するために、マイクロソフトは、次のサポートされるされている次のバージョンの Visual Studio 用に 2022 年 5 月のセキュリティ更新プログラムをリリースしました。
マイクロソフトは、この脆弱性からシステムを完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。

Visual Studio 2017 Version 15.9
Visual Studio 2019 Version 16.9
Visual Studio 2019 Version 16.11
Microsoft Visual Studio 2022 Version 17.0
Microsoft Visual Studio 2022 Version 17.1

CVE-2022-26788 PowerShell の特権の昇格の脆弱性
CVE-2022-26788 に包括的に対処するために、マイクロソフトは、サポートされるされているエディションの Windows 7 とおよび Windows Server 2008 R2 用にの 2022 年 5 月のセキュリティ更新プログラムをリリースしました。拡張セキュリティ更新プログラム (ESU) プログラムに登録しているお客様は、この脆弱性から完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。

CVE-2022-1096 Chromium: CVE-2022-1096 Type Confusion in V8
この Chrome の脆弱性の影響を受ける webview2 コンポーネントが「セキュリティ更新プログラム」一覧に、Visual Studio 2022 Version 17.0 とおよび Visual Studio 2022 Version 17.1 に組み込まれているため、を追加しました。これらのバージョンの Visual Studio を「セキュリティ更新プログラム」一覧に追加しました。2022 年 5 月のには、この Chrome の脆弱性の影響を受ける Webview2 コンポーネントが組み込まれています。Visual Studio 用の 2022 年 5 月のセキュリティ更新プログラムには、webview2 webview 用の更新プログラムが含まれています。マイクロソフトは、2.この脆弱性から完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。

既存のセキュリティアドバイザリの更新

Microsoftが2022年5月11日（日本時間）に更新した既存のセキュリティアドバイザリは次の通りです。

ADV990001 最新のサービススタック更新プログラム
新しいバージョンのサービススタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。詳細については、アドバイザリのFAQ を参照してください。

最新のサービススタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。

Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラムガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティリリース情報にてご確認ください。

各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。

最新の情報は、セキュリティ更新プログラムガイドを確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラムガイド API を活用して、自社に特化したカスタムレポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。

セキュリティ更新プログラムガイドに更新があった場合の通知を受け取る仕組みの実装が予定されています。詳しくは、ブログ “Coming Soon: A Brand-New Notification System!” をご参照ください。

次回、2022年6月のWindows Update、セキュリティ更新プログラムのリリースは、6月15日(日本時間)の予定となっています。2022年の年間スケジュールについてはこちらを参照ください。

Source:Microsoft