深刻度が「危険」の脆弱性1,570件報告されているIEのサポート終了に注意 - IPA

情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は1月18日、「脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第4四半期（10月～12月）]：IPA 独立行政法人 情報処理推進機構」において、2022年第4四半期にJVN iPedia日本語版に登録された脆弱性対策情報の概要を伝えた。

IPAは、2022年第4四半期における注目の脆弱性情報として、次の2点に焦点を当てている。

Microsoft Internet Explorerのサポート終了
Microsoft Exchange Serverに存在する既知の脆弱性

Microsoftで提供が続けられていたWebブラウザであるInternet Explorerのサポートは2022年6月16日(日本時間)に終了している。JVN iPediaには、Internet Explorerに関する脆弱性が2022年12月末時点で2,045件登録されており、特に共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコアv2の深刻度が危険と位置づけられた脆弱性が1,570件もあると報告されている。

Microsoft Exchange Serverに存在する2件の脆弱性としては、CVE-2022-41040およびCVE-2022-41082が取り上げられている。どちらもCVSSスコアv3による深刻度は重要(High)と分類されており注意が必要。

Internet Explorerについては、Microsoftが新たなWebブラウザとしてリリースしたMicrosoft Edgeへの切り替えが推奨されている。Microsoft Exchange Serverの脆弱性については、速やかにアップデートすることが望まれている。

Microsoft Exchange Serverの脆弱性は新たな悪用方法が確認されており、脅威者が更新されていないユーザーを対象にサイバー攻撃を仕掛ける事例が他のセキュリティファームでも報告されている(参考「Microsoft Exchangeの脆弱性「ProxyNotShell」の新たな悪用方法発覚 | TECH+（テックプラス）」)。