新品互換用パソコン バッテリー、ACアダプタ、ご安心購入!
ノートpcバッテリーの専門店



人気の検索: ADP-18TB | TPC-BA50| FR463

容量 電圧 製品一覧

スペシャル

Windows 10の脆弱性を諜報機関の「NSA」が報告したことを専門家が重視する理由とは?

Microsoftは2020年1月、Windows 10を実行する何億台ものPCに影響を与える危険な脆弱性を修正するため、セキュリティパッチを配布しました。Microsoftの報告によると、今回の脆弱性はCryptoAPIというWindowsのAPIで発見されたとのことですが、セキュリティ専門家らが特に「重要な点である」と指摘したのが、「脆弱性を報告したのがアメリカの諜報機関であるアメリカ国家安全保障局(NSA)だった」という点でした。

CryptoAPIに含まれた機能の一つを使うと、開発者がソフトウェアにデジタル署名を行い、ソフトウェアが改ざんされていないことを証明できます。しかし、今回Microsoftによって発表されたCryptoAPIの脆弱性を用いた場合、ソフトウェアやファイルを含むコンテンツのデジタル署名を偽装し、危険なコンテンツを安全であるかのように見せかけることができるとのこと。

Microsoftは、「デジタル署名が信頼できるプロバイダーによるもののように見えてしまうため、ファイルが悪意のあるものであるとユーザーが知る方法はありません」と述べ、脆弱性を突くことでランサムウェアのような悪意のあるソフトウェアを脆弱なコンピューターで実行しやすくなる可能性があると指摘。カーネギーメロン大学が運営する脆弱性開示センターのCERT-CCは、今回の脆弱性に関する勧告において、「この脆弱性を悪用することにより、HTTPSまたはTLS通信の傍受や変更が可能になる場合がある」と指摘しました。

その一方で、セキュリティ専門家らは今回の脆弱性発見に関して、別の側面からも注目しています。サイバーセキュリティ企業のTenableで上級研究エンジニアを務めるSatnam Narang氏は、「一般にこのような脆弱性の修正パッチは常に重要ですが、Microsoftに脆弱性を開示したのがNSAであるという点によって、さらに重要性が増しました」と述べました。

NSAは多額の資金を費やしてマルウェアやハッキングツールを開発していることが知られているほか、独自に発見した脆弱性を公開することなく、ゼロデイ攻撃を可能にするツールを作成していたことも判明しています。