【CVE-2024-38165】Microsoft Windows 11に圧縮フォルダの改ざん脆弱性、セキュリティ更新プログラムの適用が必須に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Microsoft Windows 11に改ざんされる脆弱性
Windows圧縮フォルダの不備が原因
CVE-2024-38165として識別される問題

Microsoft Windows 11の圧縮フォルダに関する脆弱性

マイクロソフトは2024年8月13日、Windows 11の圧縮フォルダ機能に改ざんされる脆弱性が存在することを公表した。この脆弱性はCVE-2024-38165として識別され、Windows の圧縮フォルダに不備があるため、攻撃者によってデータが改ざんされる可能性がある。CVSSv3による基本値は6.5（警告）と評価されており、早急な対応が求められている。^[1]

この脆弱性の特徴として、攻撃元区分がネットワークであり、攻撃条件の複雑さが低いことが挙げられる。また、攻撃に必要な特権レベルは不要だが、利用者の関与が必要とされている。影響の想定範囲に変更はないものの、完全性への影響が高いと評価されており、データの改ざんリスクが顕著である。

影響を受けるシステムには、Microsoft Windows 11 Version 22H2およびVersion 23H2のARM64ベースシステムとx64ベースシステムが含まれる。マイクロソフトは既にこの脆弱性に対する正式な対策を公開しており、ユーザーはセキュリティ更新プログラムガイドを参照し、適切な対策を実施することが推奨されている。

Windows 11の脆弱性CVE-2024-38165の影響まとめ

	攻撃元区分	攻撃条件の複雑さ	必要な特権レベル	利用者の関与	影響の想定範囲	完全性への影響	可用性への影響
特徴	ネットワーク	低	不要	要	変更なし	高	なし
CVSSスコア	6.5	警告	-	-	-	-	-
影響を受けるバージョン	Version 22H2	Version 23H2	ARM64ベース	x64ベース	-	-	-

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標のことを指している。主な特徴として以下のような点が挙げられる。

0.0から10.0までの数値で脆弱性の深刻度を表現
攻撃の容易さや影響度など複数の要素を考慮して算出
ベンダーや組織間で統一された評価基準として機能

CVSSv3では、基本評価基準、現状評価基準、環境評価基準の3つの基準で脆弱性を評価する。Windows 11の圧縮フォルダの脆弱性CVE-2024-38165の場合、CVSSv3基本値が6.5と評価されており、これは「警告」レベルに相当する。この評価により、システム管理者やユーザーは脆弱性の重要度を迅速に把握し、適切な対応を取ることが可能となっている。

Windows 11の脆弱性対策に関する考察

Microsoft Windows 11の圧縮フォルダに関する脆弱性CVE-2024-38165は、データの改ざんリスクが高いという点で深刻だ。マイクロソフトが迅速に対策を公開したことは評価できるが、ユーザー側の迅速な更新適用が課題となるだろう。特に企業環境では、更新プログラムの検証に時間がかかり、脆弱性が悪用される期間が長くなる可能性がある。

今後、同様の脆弱性に対してより効果的に対応するためには、自動更新機能の改善やユーザーへの啓発が重要となるだろう。例えば、重要度の高い脆弱性に対しては、ユーザーに更新を促す通知をより目立つ形で表示するなどの工夫が考えられる。また、企業向けには、更新プログラムの事前検証を効率化するツールの提供なども有効かもしれない。

長期的には、OSの設計段階からセキュリティを考慮したアプローチ（セキュリティ・バイ・デザイン）の徹底が望まれる。圧縮フォルダのような基本機能においても、データの整合性チェックや暗号化などのセキュリティ機能を標準で組み込むことで、脆弱性の発生リスクを低減できる可能性がある。マイクロソフトには、こうした根本的な対策の強化とともに、脆弱性情報の透明性向上や、セキュリティコミュニティとの協力関係強化を期待したい。