先週の7月9日、日本マイクロソフトは7月分の定例セキュリティ情報を公開した。今回提供されたセキュリティ更新プログラム(パッチ)で修正される脆弱性は29件。相変わらず多いものの、パッチの公開前に悪用された脆弱性(いわゆる「ゼロデイ脆弱性」)はゼロだった。

IEに危険な脆弱性が多数、マイクロソフトはパッチを公開

 「久しぶりに“平穏”な月になりますね」とある専門家と話をしたところ、「これが普通。ここ数カ月が異常だった」と返された。確かに、4月以降は、マイクロソフト製品に限らず有名なソフトウエアに深刻な脆弱性が相次いで見つかり、ゼロデイ攻撃が続出したために、ああいった状況が“当たり前”だと思い始めていた。だが、それ以前の状況を考えれば、4月以降の数カ月は異常な状況だった。

 とはいえ、ゼロデイ脆弱性は公表されなかったものの、深刻な脆弱性は見つかっている。いつも同様、パッチの適用は必須だ。

 さらに、Windows 8.1の企業ユーザーについては注意すべき点がある。Windows 8.1 Update(KB2919355)を適用しておかないと、来月以降公開されるパッチを適用できなくなるということだ。

 個人ユーザーについては、6月時点で、Update未適用のWindows 8.1に対するパッチ提供は終了している。ただし、個人ユーザーの多くは自動更新機能を有効にしているので、自動的にWindows 8.1 Updateが適用され、6月以降に公開されたパッチも問題なく適用されていると考えられる。

 一方、System Center Configuration Manager(SCCM)やWindows Server Update Services(WSUS)などを利用している企業ユーザーについては、猶予期間が設けられている。7月分のパッチまでは、Updateを適用していないWindows 8.1でもパッチを適用できた。

 しかし、それも今月で終わり。8月分からは、Updateを適用していないWindows 8.1には、SCCMやWSUS経由でもパッチは提供されなくなる。Windows 8.1 Updateを自動的にインストールしないように設定している企業は少なくないだろう。そういった企業のシステム担当者は注意してほしい。