【CVE-2024-38155】Windows 10/11のセキュリティセンターブローカーに情報公開の脆弱性、マイクロソフトが対策を公開

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Windows 10/11に情報公開の脆弱性
セキュリティセンターブローカーに不備
深刻度基本値5.5の警告レベル

Microsoft Windowsのセキュリティセンターブローカーにおける情報公開の脆弱性

マイクロソフトは2024年8月13日にWindows 10およびWindows 11のセキュリティセンターブローカーに存在する情報公開の脆弱性を公表した。この脆弱性はCVSS v3による深刻度基本値が5.5（警告）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。^[1]

影響を受けるシステムには、Windows 10のVersion 1809からVersion 22H2までの32-bit、ARM64、x64ベースのシステムと、Windows 11のversion 21H2からVersion 24H2までのARM64、x64ベースのシステムが含まれている。この脆弱性により、攻撃者は特権レベルが低い状態でも、利用者の関与なしに情報を公開させる可能性がある。

マイクロソフトは既にこの脆弱性に対する正式な対策を公開しており、ユーザーにはベンダ情報を参照して適切な対策を実施するよう呼びかけている。この脆弱性はCVE-2024-38155として識別されており、National Vulnerability Database (NVD)やJPCERT/CCなども関連情報を公開している。

Windows 10/11の脆弱性詳細

項目	詳細
CVE識別子	CVE-2024-38155
CVSS v3深刻度基本値	5.5（警告）
攻撃元区分	ローカル
攻撃条件の複雑さ	低
攻撃に必要な特権レベル	低
利用者の関与	不要
影響の想定範囲	変更なし

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。CVSSは以下のような特徴を持っている。

0.0から10.0までの数値で脆弱性の深刻度を表現
基本評価基準、現状評価基準、環境評価基準の3つの基準で評価
ベンダーやプラットフォームに依存しない共通の評価システム

今回のWindows 10/11の脆弱性では、CVSS v3による深刻度基本値が5.5と評価されている。この評価は、攻撃元区分がローカルであり、攻撃条件の複雑さが低く、攻撃に必要な特権レベルが低いことを反映している。また、利用者の関与が不要であり、影響の想定範囲に変更がないことも考慮されている。

Windows 10/11のセキュリティセンターブローカーの脆弱性に関する考察

マイクロソフトが公開したWindows 10/11のセキュリティセンターブローカーにおける情報公開の脆弱性は、ローカル環境での攻撃を想定しているものの、攻撃条件の複雑さが低いという点で注意が必要だ。特に、攻撃に必要な特権レベルが低く、利用者の関与も不要であることから、標的型攻撃などで悪用される可能性がある。

今後の課題として、セキュリティセンターブローカーの設計や実装における更なる強化が求められるだろう。特に、情報の取り扱いに関するアクセス制御や権限管理の見直しが重要になると考えられる。また、ユーザー側でも定期的なセキュリティアップデートの適用や、不要なアプリケーションの削除など、基本的なセキュリティ対策の徹底が求められる。

マイクロソフトには、今回のような脆弱性の早期発見・対応システムの更なる強化が期待される。同時に、ユーザーに対しても脆弱性情報の迅速な共有と、わかりやすい対策手順の提供が重要だ。セキュリティ意識の向上と、産業界全体でのセキュリティ対策の連携強化が、今後のサイバーセキュリティ向上の鍵となるだろう。