マイクロソフトが4月の月例セキュリティ更新で修正した脆弱性がサイバー攻撃の標的となっている。 他の脆弱性と組み合わせて悪用されているとして、米当局が注意を呼びかけた。

脆弱性の組み合わせによる攻撃は以前からも多く見られている。 一つ一つの脆弱性はそれぞれに起動の前提条件があり、条件が満たされなければ脆弱性は悪用されることがないが、複数の脆弱性が一つのシステムに共存させると、前提条件を別の脆弱性でカバーすることにより侵入を許してしまうことがある。 今回は起動条件になる細工したファイルを開かせるため別の脆弱性が起動して侵入を許したもの。この脆弱性は24年4月に修正されたとされていたが、悪用されていることが判明した。

脆弱性対策は可能な範囲で短い間隔で継続していくことが重要だ、と米当局も強く警鐘を鳴らしている。