Windowsの「MSMQ」に見つかった深刻な脆弱性とは パッチ未適用だとどうなる？：Windowsサービスの「致命的な脆弱性」【前編】

セキュリティベンダーCheck Pointは、「Windows」搭載のメッセージングサービスにおける3つの脆弱性を開示した。そのうち1つは“致命的”だという。どのようなものなのか。

[Alex Scroxton，TechTarget]

　セキュリティベンダーCheck Point Software Technologies（以下、Check Point）は2023年4月、MicrosoftのOS「Windows」が搭載する機能に3つの脆弱（ぜいじゃく）性があることを、自社のブログで公表した。そのうちの1つは、攻撃者が悪用していても気付きにくく、全世界の企業を危険にさらす可能性がある。企業は何に注意すればいいのか。

「Windows 11」や「Windows Server 2022」にも影響

併せて読みたいお薦め記事

「脆弱性」の関連記事

• 「リモートデスクトッププロトコル」（RDP）が“安全だ”と信じてはいけない理由とは？
• 米CISAが「脆弱性カタログ」更新　政府機関“お墨付き”の危ない欠陥は

　Check Pointのハイフェイ・リー氏がMicrosoftに開示した脆弱性は以下の3つだ。

• CVE-2023-21554（別名QueueJumper）
• CVE-2023-21769
• CVE-2023-28302

　これらの脆弱性は、Microsoftのメッセージキューイングサービス「Microsoft Message Queuing」（MSMQ）の脆弱性だ。MSMQは、「Windows 11」や「Windows Server 2022」といったMicrosoftのOSが搭載する機能で、アプリケーション間の非同期通信を可能にする。

　Microsoftは今回の開示を受け、2023年4月の月例アップデートでパッチ（修正プログラム）を適用し、脆弱性を修正した。他方で36万台以上のWindowsシステムが、脆弱性の影響を受けた可能性がある。

　中でもCheck Pointが最も致命的だと指摘する脆弱性が、QueueJumperだ。この脆弱性は、標的のサーバで不正なプログラムを動作させるリモートコード実行（RCE）を可能にする。パッチの適用といった対処をしないままだと、MSMQの一連のプロセスにおいて、攻撃者が悪意あるプログラムをリモート実行できるようになる恐れがある。共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）の評価では、深刻度は最も高い「緊急」（スコア9.8）だ。

---

　中編は、今回のような脆弱性が生まれた背景を説明する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。