Windows 7以降のクライアントWindowsに標準搭載されているWindows Defenderで最悪な脆弱性が発見されました。
既に5月の修正版が配信されていますので、すぐにアップデートしてください。
ただし、Windows 10 Creators Upadteでは設定によっては適用されないので注意が必要です。
Windows Defenderの最悪な脆弱性
今回のバグはGoogleによって発見され5月6日に公開されました。
バグは着信したメールまたはインスタントメッセージからマルウェアに感染しシステムを乗っ取られるというものです。メールやインスタントメッセージは開封しなくともWindows Defenderがスキャンした時点で感染するとのことです。バグはWindows Defenderのエンジンにあるためです。
- Microsoftのマルウェアスキャンエンジンに最悪な脆弱性、修正パッチが緊急公開(INTERNET Watch)
- マイクロソフト セキュリティ アドバイザリ 4022344(Microsoft)
- Windowsに新たな未解決の脆弱性、Google研究者が「最悪」と報告(ITmedia)
- Microsoft、マルウェア対策エンジンの重大な脆弱性を修正(ITmedia)
- 何もしなくても感染するWindows Defenderの脆弱性に修正パッチ公開。Windows 7以降はいますぐ適用を(engadget)
対象となるのはWindows Defenderを搭載しているWindowsとのことですので、Windows 7/8/8.1/10ということになります。
既に5月の更新プログラムとして配信されていますので早急にWindows Updateでパッチを適用してください。
修正版が正しく適用されたかどうかはWindows 10の場合は「設定」アプリの「更新とセキュリティ」の「Windows Defender」で「エンジンのバージョン」が「1.1.13704.0」以上になっていることを確認してください。
Windwos 10以外ではWindows Defenderを起動して確認してください。
Windows 10 Pro Creators Updateでは設定の確認を
Windows 10 バージョン1703(Creators Update)からはWindows Updateの振る舞いを細かく設定できるようになりました。この機能によりバグのあるパッチを適用してパソコンがおかしくなることを防ぐことができます。
通常、更新プログラムが配信されてユーザーの元で障害が発生して大きな騒ぎとなった場合、数日中に配信が停止されます。そのため、7日程度適用を遅らせることでバグのある更新プログラムの適用で防ぐことができます。
しかし、今回のように緊急に適用しなければならない場合は一時的に適用を早める必要があります。
クリーンインストールまたは旧バージョンからアップデートしたまま変更せず、既定のままで使っているなら問題ありません。しかし変更した覚えがある場合は下記の設定を確認してください。この設定がされていないとWindows Updateを実行しても更新プログラムが適用されません。
Windows 10 バージョン1703(Creators Update)の「設定」アプリで「更新とセキュリティ」の「Windows Update」の「詳細オプション」をクリックします。
更新プログラムは「機能更新プログラム」と「品質更新プログラム」に分けられていますが、今回のセキュリティアップデートは「品質更新プログラム」にあたりますので、この項目が「0」になっていることを確認します。
また「更新の一時停止」も「オフ」になっていることを確認してください。
これらを設定後「更新プログラムのチェック」をクリックすればパッチが適用されます。
Hyper-V Server 2016、Windows Strage Server 2016
Windows Server 2016からServer WindowsにもWindows Defenderが搭載されています。
Windows Server 2016を運用している場合はIT部門が適切に対処するので任せておけばよいでしょう。
ただし、NASなどの製品に搭載されているWindows Strage Server 2016や実験などで使われるHyper-V Server 2016は対処を忘れることが多いと思われます。
Hyper-V Server 2016ではメールやインスタントメッセージを受信することはありませんので感染することはありませんがバグは対処しておいた方がよいでしょう。
Hyper-V Server 2016ではデフォルトで自動更新が無効になっているため手動でWindows Updateを実行してください。
自動更新を有効にすることもできますが、その場合パッチを適用するために自動で再起動されるので意図しないタイミングでゲストマシンが数分間停止することになります。
エンジンが更新されたかの確認は、
- C:\ProgramData\Microsoft\Windows Defender\Support
の下にある
- MPDetection-MMDDYYYY-XXXXXX.log (MMDDYYYYは日付、XXXXXXXは数字)
というファイルの最後の方の行にある「Engine」という項目が「1.1.13704.0」以上であることを確認します。
- 2017-05-10T15:08:57.522Z Version: Product 4.10.14393.1198 Service 4.10.14393.1198 Engine 1.1.13704.0 AS 1.243.121.0 AV 1.243.121.0
まとめ
サードパーティのセキュリティソフトを使っていたとしてもWindows Defenderはアンインストールできないので感染する可能性はあります。
早急に更新プログラムを適用してください。
コメント