〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 3/13号 目次 –
01. Microsoft・Adobe・Apple等、月例のセキュリティアップデートリリース
02. コードエディター「Visual Studio Code」拡張機能に不審なコードか…公式ストアから削除
03. JavaScript実行環境「Node.js」サポート切れバージョンそのものにCVE申請も却下される
Microsoft・Adobe・Apple等、月例のセキュリティアップデートリリース
– 3月12日(日本時間)、マイクロソフト(以下・MS)より、Windows・Office等同社製品に対する月例のセキュリティアップデートがリリースされています。
– Windowsの最新バージョンはWindows 10 22H2 KB5053606(ビルド 19045.5487)、11 23H2KB5053602(ビルド 22631.5039)および11 24H2 KB5053598(ビルド 26100.3476)等となります。
– 同日にはAdobe社より「Acrobat」「Acrobat Reader」「Illustrator」等6製品について、Apple社からも「Safari」「iOS」「iPadOS」「macOS」等について脆弱性が報告され、セキュリティアップデートがリリースされています。
https://forest.watch.impress.co.jp/docs/news/1669503.html
https://msrc.microsoft.com/blog/2025/03/202503-security-update/
https://forest.watch.impress.co.jp/docs/news/1669505.html
https://forest.watch.impress.co.jp/docs/news/1669506.html
https://forest.watch.impress.co.jp/docs/news/1669502.html
AUSからの所感
MSの月例アップデートでは7件の脆弱性が既に悪用ないし攻撃コードが出回っているのを確認、Office・DNSサービス・リモートデスクトップ(クライアント・サービスとも)等6件が特に危険度が高い(4段階中最高の「Critical」)と評価されています。
Appleのセキュリティアップデートは各製品に共通して使用されるWebKitの脆弱性「CVE-2025-24201」の修正がメインとなっており、これも既に悪用が確認済みとされています。
またGoogle Chromeも3月11日にv134.0.6998.88/.89がリリースされていますが、Mac版においては前述のCVE-2025-24201の影響を受けるとされ、同様に修正されています。
いわゆる「パッチチューズデー(米国時間での第2火曜日にあたる)」におけるMS他の月例のセキュリティアップデートをはじめ、各種ソフトウェアベンダーが定期的(隔月・四半期毎等)に行うアップデートについて、特にシステム管理者においては忘れず意識し、 OS・機器のファームウェアから各種アプリケーションに至るまで計画的に更新、加えてアンチウイルス・UTM等による多重防御策により、常に脆弱性への攻撃に備えるよう心掛けてください。
コードエディター「Visual Studio Code」拡張機能に不審なコードか…公式ストアから削除
– 2月26日(現地時間)、インターネットメディア「Medium」にて、Microsoft(以下・MS)製コードエディター「VisualStudio Code(VSCode)」の拡張機能に不審なコードを含むものが確認されたと報じられています。
– 問題となったのはVS Codeの見た目をカスタマイズする「Material Theme – Free」「Material Theme Icons – Free」で、いずれもMS公式の拡張機能マーケットプレイスに登録されていたものです。
– 指摘を受けてMSではマーケットプレイスから当該拡張機能を削除していますが、これらは削除される前に併せて900回以上ダウンロードされていたとのことです。
https://news.mynavi.jp/techplus/article/20250228-3137463/
https://medium.com/extensiontotal/a-wolf-in-dark-mode-the-malicious-vs-code-theme-that-fooled-millions-85ed92b4bd26
AUSからの所感
VSCodeは開発者から人気の高いコードエディタ―の一つで、ソースコードのハイライトや、GitHub等または内部のソースコード管理サーバーへのアクセスを容易にする等の目的で多数の拡張機能が開発・提供されています。
VSCodeで拡張機能から実行できる機能の範囲はChrome・Firefox等のWebブラウザーのそれと同様であり、VSCodeにインストールされる拡張機能はVSCode上で様々な機能の使用を許可されることになり、悪意のある拡張によってはPC上の任意のファイルを読み取られ、機密情報を奪取される恐れもあります。
ブラウザーの拡張あるいはスマートフォンアプリと同様、マーケットプレイス上やSNS上でのレビュー等を十分に確認し、必要最低限の拡張機能のみインストール・有効化すること、身に覚えのない拡張機能が入っていれば速やかにアンインストールすることが重要です。
JavaScript実行環境「Node.js」サポート切れバージョンそのものにCVE申請も却下される
– 3月7日(現地時間)、JavaScript実行環境「Node.js」開発元より、Node.jsのサポートが切れた古いバージョンの存在そのものを脆弱性とするCVE番号の割り当てが却下されたと発表されました。
– 開発元では1月に、サポート切れとなっているバージョン17系以前・19系・21系の使用をそれぞれ「CVE-2025-23087」「CVE-2025-23088」「CVE2025-23089」として採番していましたが、今回CVEを管理するMITREより、特定の脆弱性に対してCVE番号を割り当てるという現行のルールに即しないとして却下されたとしています。
– Node.jsでは現時点で最新バージョンの23の他、LTS(長期サポート)対象となっているバージョン18・20・22系でセキュリティサポートを行っており、これらで確認された脆弱性は今後サポート切れバージョン全てで影響するものとして扱うとしています
https://forest.watch.impress.co.jp/docs/news/1668795.html
https://nodejs.org/en/blog/vulnerability/updates-cve-for-end-of-life
AUSからの所感
開発元によれば、やはりサポート切れ済みのバージョン16が現在も月間1,100万以上ダウンロードされているとのことです(古いLinuxディストリビューションで18以降が使用できない場合があるためと推測されます)。
Node.jsの他、Javaや.NET(5以降)等においては、メジャーバージョン毎に特定のルールでLTS指定が行われ、バージョン毎にサポート期間が異なるため、常に現行での最新バージョンを採用することが長期のサポートを得られるわけではないことに注意し、適切に使用するバージョンの選定を行うべき場面があるでしょう。
ともあれ、どのソフトウェアでもサポートされていない古いバージョンを使い続けることは脆弱性のリスクがあることに留意し、計画的にアップデートを行うよう意識することが肝要です。
