インド政府が「高リスク」と警告したMicrosoft Edge脆弱性とは?今すぐできる確認・更新手順
インド政府のサイバーセキュリティ機関が、国内のMicrosoft Edge利用者に向けて「高リスク」とする公式警告を出しました。対象は“古いバージョンのEdge”で、細工されたWebページを開かされると、攻撃者が端末上で不正なコードを実行し、機密情報の窃取や端末乗っ取りにつながる恐れがあるという内容です。CERT-In+1
何が起きたのか:公式警告のポイント
今回の注意喚起は、インドのCERT-In(電子情報技術省の管轄)が公表した「Microsoft Edgeに複数の脆弱性が報告された」というものです。リスク評価は“High(高)”で、機密データへの不正アクセス、システム侵害、サービス停止などにつながり得るとしています。CERT-In
特に問題視されているのは、Microsoft Edgeが一定バージョン未満の場合に脆弱である点で、アップデートを適用することが強く推奨されています。Microsoft Learn+1
影響を受ける条件:あなたのEdgeは大丈夫?
報告されている条件の一つとして、Microsoft Edgeが「144.0.3719.92」より古い場合に影響を受けると整理されています。Microsoft Learn+2Tenable®+2
Edgeのバージョン確認方法(30秒)
-
Edge右上の「…」
-
[ヘルプとフィードバック]→[Microsoft Edgeについて]
-
バージョン番号が表示され、自動更新が走ることがあります
ここで「144.0.3719.92」未満なら、優先度高で更新してください。Microsoft Learn+1
どんな攻撃に悪用される?「Webページ閲覧」で発火する怖さ
警告で目立つのが、**Remote Code Execution(RCE:遠隔コード実行)**の可能性です。ざっくり言うと、攻撃者が用意した“罠ページ”を開かせることで、被害端末上で不正な処理を走らせられるタイプの脆弱性です。GovCert+1
今回言及されている要因の一つとして、Chromium系ブラウザが利用するJavaScriptエンジン(V8)に絡む“競合状態(race condition)”が関係するケースが示されています。Tenable®+1
なぜ「古いブラウザ」が狙われるのか
「新しい機能が増えるのが苦手」「慣れた表示がいい」などの理由で更新を後回しにすると、攻撃側にとっては好都合です。理由はシンプルで、脆弱性の情報や攻撃の手口が広まりやすく、未更新端末だけが取り残されるからです。とくにブラウザは、メール・SNS・広告・検索など外部入力の塊なので、入口として狙われやすい領域になります。CERT-In+1
今すぐやるべき対策:基本は「更新」だけでいい
CERT-Inの趣旨に沿った最優先策は、公式の修正(アップデート)適用です。Edgeは通常、自動更新に対応していますが、環境によって止まっていることがあります。CERT-In+1
個人ユーザー向け(手堅い順)
-
Edgeを開いて「Microsoft Edgeについて」を表示し、更新を完了させる
-
PC再起動(更新が保留になっている場合がある)
-
不審な拡張機能を削除(思い当たらないものは無効化)
企業・組織のPCで更新できないとき
会社PCでは管理ポリシーで更新が遅れることがあります。放置ではなく、以下の“現実的な防御”を同時に進めるのが安全です。
-
重要業務端末は優先的にブラウザ更新枠を確保
-
不審URLを踏ませない(メール/チャットのURL無害化、フィルタ強化)
-
ブラウザ拡張の許可制・棚卸し
-
端末侵害を想定したログ監視(異常プロセスや不審通信の検知)
もし「怪しいページを開いたかも」と思ったら
RCE系は「気づいた時点で遅い」こともあるので、早めに切り分けるのが得策です。
-
すぐにEdgeとOSを最新化
-
直近で入れた拡張機能・アプリを点検
-
ブラウザの保存パスワードを見直し(必要なら変更)
-
重要アカウントは多要素認証を有効化
まとめ:今回の件で一番大事なのは「バージョン確認→更新」
今回のインド政府(CERT-In)の警告は、「Edgeを使うな」ではなく、**“古いEdgeを使い続けるな”**が核心です。対象バージョン未満の利用は、機密情報漏えいや端末侵害の入り口になり得ます。まずはEdgeの「Microsoft Edgeについて」でバージョンを確認し、144.0.3719.92以上へ更新できているかをチェックしてください。CERT-In+2Microsoft Learn+2
