【Windows Update】Microsoft、2023年1月のセキュリティ更新プログラムを公開！

Microsoftは2023年1月11日(日本時間)、2023年1月の月例Windows UpdateとしてWindowsをはじめとしたセキュリティ更新プログラムを公開しました。セキュリティ脆弱性などの更新が含まれているので、Windows PCをお使いのユーザーは、なるべく早くアップデートを行いましょう。

今月のセキュリティ更新プログラムでは、Windowsのセキュリティ更新やバグ修正に関する計12件（緊急6件、重要6件）の新規セキュリティ情報を公開しています。

また、新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 3 件の更新と、既存のセキュリティアドバイザリの更新情報 3 件の公開を行いました。
なお、今月の悪意のあるソフトウェアの削除ツールでは、新たに対応を追加したファミリはありませんでした。

Windowsユーザーはできるだけ早く、2023年1月の公開セキュリティ更新プログラムを適用することが推奨されます。

2023年1月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

Microsoftが2023年1月11日(日本時間)にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧が公開されています。最新の情報は、2023 年 1 月セキュリティ更新プログラムリリースノートをご確認ください。

.NET Core
3D Builder
Azure Service Fabric コンテナー
Microsoft Bluetooth ドライバー
Microsoft Exchange Server
Microsoft Graphics コンポーネント
Microsoft Local Security Authority Server (lsasrv)
Microsoft Message Queuing
Microsoft Office
Microsoft Office SharePoint
Microsoft Office Visio
SQL 用 Microsoft WDAC OLE DB プロバイダー
Visual Studio Code
Windows ALPC
Windows Ancillary Function Driver for WinSock
Windows 認証方法
Windows バックアップエンジン
Windows Bind Filter ドライバー
Windows BitLocker
Windows Boot Manager
Windows 資格情報マネージャー
Windows Cryptographic サービス
Windows DWM Core ライブラリ
Windows エラー報告
Windows イベントトレーシング
Windows IKE 拡張
Windows インストーラー
Windows インターネットキー交換 (IKE) プロトコル
Windows iSCSI
Windows カーネル
Windows レイヤー 2 トンネリングプロトコル
Windows LDAP – ライトウェイトディレクトリアクセスプロトコル
Windows Local Security Authority (LSA)
Windows ローカルセッションマネージャー (LSM)
Windows Malicious Software Removal Tool
Windows Management Instrumentation
Windows MSCryptDImportKey
Windows NTLM
Windows ODBC ドライバー
Windows Overlay Filter
Windows Point-to-Point Tunneling プロトコル
Windows 印刷スプーラーコンポーネント
Windows リモートアクセスサービス L2TP ドライバー
Windows RPC API
Windows Secure Socket トンネリングプロトコル (SSTP)
Windows スマートカード
Windows タスクスケジューラ
Windows Virtual Registry Provider
Windows ワークステーションサービス

セキュリティ更新プログラム、セキュリティアドバイザリに関する主な注意点

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-21674 Windows Advanced Local Procedure Call (ALPC) の特権の昇格に関する脆弱性は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。詳細は、CVE-2023-21674 を参照してください。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-21549 Windows SMB 監視サービスの特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は確認されていません。
今月の Microsoft Exchange の更新プログラムを適用すると、多層防御のための新機能である Exchange Server における PowerShell シリアライゼーションペイロードの証明書署名が追加されます。 Exchange Server 管理者は、この新機能を手動で有効にする必要があります。有効化の手順、および機能の詳細については、 Exchange チームブログ Released: January 2023 Exchange Server Security Updates をご参照ください。
Microsoft Exchange の更新プログラムを展開する際のガイダンスは、Exchange チームブログ Released: January 2023 Exchange Server Security Updates も併せてご参照ください。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023 年 1 月セキュリティ更新プログラムリリースノートに掲載されています。

2023年1月のセキュリティ更新プログラム一覧

Microsoftが2023年1月11日(日本時間)に公開したセキュリティ更新プログラムは次の通りです。
最新の情報は、セキュリティ更新プログラムガイドを確認してください。

最大深刻度「緊急」のセキュリティ更新情報

製品ファミリ：Windows 11 v21H2および v22H2

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
v21H2,5022287
v22H2,5022303

製品ファミリ：Windows 10 v22H2,v21H2,およびv20H2

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5022282

製品ファミリ：Windows Server 2022 (Server Core installationを含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5022291

製品ファミリ：Windows Server 2019 , 2016 (Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows Server 2019, 5022286
Windows Server 2016, 5022289

製品ファミリ：Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 8.1, Windows Server 2012 R2
Monthly Rollup 5022352
Security Only 5022346
Windows Server 2012
Monthly Rollup 5022348
Security Only 5022343

製品ファミリ：Microsoft SharePoint

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/officeupdates/sharepoint-updates

最大深刻度「重要」のセキュリティ更新情報

製品ファミリ：Microsoft Office

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/officeupdates

製品ファミリ：Microsoft Exchange Server

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/exchange
Released: January 2023 Exchange Server Security Updates

製品ファミリ：Microsoft .NET

■最も大きな影響を受ける内容
サービス拒否
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/dotnet

製品ファミリ：Microsoft Visual Studio

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/visualstudio

製品ファミリ：Azure 関連のソフトウェア

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/azure

製品ファミリ：Windows Malicious Software Removal Tool

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
https://learn.microsoft.com/system-center

既存の脆弱性情報の更新

Microsoftが2023年1月11日(日本時間)に公開した、既存の脆弱性3件の更新情報は次の通りです。

CVE	変更内容
CVE-2022-41099 BitLocker のセキュリティ機能のバイパスの脆弱性	この脆弱性から Windows 回復環境 (WinRE) を保護するためにお客様が実行する必要がある追加の手順を記載した FAQ を追加しました。
CVE-2022-41113 Windows Win32 カーネルサブシステムの特権の昇格の脆弱性	CVE-2022-41113 に包括的に対処するため、マイクロソフトは、影響を受けるすべてのバージョンの Microsoft Windows に対して、2023 年 1 月のセキュリティ更新プログラムをリリースしました。マイクロソフトは、本脆弱性から完全に保護するために、お客様に更新プログラムをインストールすることを強く推奨します。自動更新を受信するように設定されているお客様は、これ以上対応する必要はありません。
CVE-2022-47211 Microsoft Office Graphics のリモートでコードが実行される脆弱性	謝辞を追加しました。これは情報のみの変更です。

新規のセキュリティアドバイザリの公開

Microsoftが2023年1月11日(日本時間)に公開した、新規のセキュリティアドバイザリはありませんでした。

既存のセキュリティアドバイザリの更新

Microsoftが2023年1月11日(日本時間)に公開した、既存のセキュリティアドバイザリ3件の更新情報は次の通りです。

ADV	変更内容
ADV220005 Microsoft 署名済みドライバーが悪用された場合のガイダンス	マイクロソフトは、2023 年 1 月 10 日にリリースした Windows セキュリティ更新プログラムに、更新した禁止リストが含まれていると発表します。マイクロソフトは、2023 年 1 月 10 日の更新プログラムをインストールして、最新のブロックリストを確実にインストールすることを強くお勧めします。Windows デバイスが自動更新を受信するように構成されているお客様は、特別な措置を講じる必要はありません。
ADV200011 GRUB でのセキュリティ機能のバイパスに対処するためのマイクロソフトガイダンス	FAQ を改訂し、お客様のシステムがこの脆弱性の影響を受けるかどうかを判断する手順を明確にしました。これは情報のみの変更です。
ADV200013 DNS リゾルバーのなりすましの脆弱性に対処するためのマイクロソフトガイダンス	Windows Server 2022、Windows Server 2022 (Server Core installation) も本脆弱性の影響を受けるため、セキュリティ更新プログラムの表にこれらのバージョンを追記しました。これらのバージョンをお使いのお客様は、回避策にあるように、Windows DNS サーバーの UDP バッファサイズを 1221 に設定することで、本脆弱性から保護することができます。

その他情報

最新のサービススタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。
Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラムガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティリリース情報にてご確認ください。
各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認をお願いします。
最新の情報は、セキュリティ更新プログラムガイドを確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラムガイド API を活用して、自社に特化したカスタムレポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。
マイクロソフトでは、セキュリティ更新プログラムの新着情報及び更新情報を、お客様がタイムリーに受け取れるように、通知方法法をリニューアルしました。まだ購読されていない方、これまでのメールでの通知のみ受信している方は、この機会にどちらかの方法で、是非ご登録ください。
通知方法1 プロファイルを作成する方法 : セキュリティ更新プログラムガイドの通知システム : 今すぐプロファイルを作成しましょう
通知方法2 RSS フィードで購読する方法 : セキュリティ更新プログラムの通知・配信の改善 – 新しい配信方法について

Windows 8.1 のサポート終了について

Windows 8.1は 2023年1月11日(日本時間)にサポートが終了いたしました。Windows 8.1 に関する技術サポートが受けられなくなり、今回リリースした更新プログラムを最後に、セキュリティ更新プログラムを含むすべてのソフトウェア更新プログラムは提供されなくなります。Windows 8.1用の拡張セキュリティ更新プログラム (ESU) プログラムの提供はありません。以降もWindows 8.1を引き続き使用すると、セキュリティリスクにさらされる可能性があります。Windows 8.1 をご利用のお客様は、最新のWindows 11へのアップグレードをご検討ください。
詳細については、Windows 8.1サポートは 2023 年 1 月 10 日に終了しますを参照ください。

次回、2023年2月のWindows Update、セキュリティ更新プログラムのリリースは、2月15日(日本時間)の予定となっています。また、2023年のセキュリティ更新プログラムのリリーススケジュールも公開されました。2023年の年間スケジュールについてはこちらを参照ください。

Source:Microsoft