Windowsのほとんど使われない機能「MSMQ」で“PCが危険になる”可能性：Windowsサービスの「致命的な脆弱性」【中編】

「Windows」搭載のメッセージングサービスに、複数の脆弱性が見つかった。なぜ危険なのか。Windows管理者は攻撃を防ぐために何を確認すればいいのか。

[Alex Scroxton，TechTarget]

　2023年4月、セキュリティベンダーCheck Point Software Technologies（以下、Check Point）は、MicrosoftのOS「Windows」が搭載する機能に3つの脆弱（ぜいじゃく）性があることを自社のブログで公表した。これらの脆弱性を悪用すると、どのような攻撃が可能になるのか。Windows管理者は何に気を付ければいいのか。

「そもそもMSMQが危険」だと考えるべき？

併せて読みたいお薦め記事

連載：Windowsサービスの「致命的な脆弱性」

• 前編：Windowsの「MSMQ」に見つかった深刻な脆弱性とは　パッチ未適用だとどうなる？

脆弱性関連の注目記事

• セキュリティ専門家が思わず感謝　Appleの脆弱性に対する“あの行動”とは？
• ソーシャルメディア連携ログインに脆弱性　Booking.comはどう乗り越えた？

　Check Pointのハイフェイ・リー氏が開示した3つの脆弱性は、Microsoftのメッセージキューイングサービス「Microsoft Message Queuing」（MSMQ）における以下の脆弱性だ。

• CVE-2023-21554（別名QueueJumper）
• CVE-2023-21769
• CVE-2023-28302

　QueueJumperは、標的のサーバで不正なプログラムを動作させるリモートコード実行（RCE）を可能にする。攻撃者が悪用した場合でもユーザーは気付きにくいという点で特に危険だと言える。

　MicrosoftはMSMQを数年間アップデートしておらず、事実上サービスは終了しているも同然の状態だ。しかしMSMQは2023年6月時点でも使用可能で、設定ツールの「コントロールパネル」やコマンド実行ツール「PowerShell」のコマンドを使えば有効化できる。リー氏はこの点を問題点として指摘する。

　QueueJumperを悪用する攻撃者は、TCP（伝送制御プロトコル）の1801番ポートにアクセスして、標的のサーバでRCEを実行できた恐れがある。つまり「悪意のあるパケットを1801番ポートに1つ送信するだけで、MSMQの一連のプロセスを乗っ取ることができる」（リー氏）ということだ。

　Check Pointの研究所Check Point Researchは、MSMQの危険性を詳細に把握するために、インターネットに接続している機器のスキャンを実施した。その結果、MSMQを実行し、かつTCPの1801番ポートをインターネットに開放しているIPアドレスが36万件以上存在する状況が浮かび上がった。この件数はインターネットに公開されているPCのみを対象とし、社内LANでMSMQを実行するPCは含まない。

　MSMQを使用するアプリケーションは複数存在する。このようなアプリケーションをWindows搭載PCにインストールした場合、ユーザーが気付かないうちにMSMQが有効になる可能性がある。

　Check PointがWindows管理者に推奨する対策は以下の通りだ。

• サーバとクライアント端末にMSMQがインストールされているかどうかをチェックすること
• PCでMSMQが実行されているかどうかを確認すること
• TCPの1801番ポートがリッスン状態（外部からの接続を待機している状態）かどうかを確認すること

　PCにMSMQがインストール済みの場合、「MSMQが本当に必要かどうかを検討するべきだ」とリー氏はアドバイスする。「不要な攻撃対象を排除することが、セキュリティ対策の非常に優れたベストプラクティスだ」（同氏）

---

　後編は、RCEを引き起こす可能性があるWindows製品の脆弱性を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。