Windowsのほとんど使われない機能「MSMQ」で“PCが危険になる”可能性Windowsサービスの「致命的な脆弱性」【中編】

「Windows」搭載のメッセージングサービスに、複数の脆弱性が見つかった。なぜ危険なのか。Windows管理者は攻撃を防ぐために何を確認すればいいのか。

2023年06月15日 05時15分 公開
[Alex ScroxtonTechTarget]

 2023年4月、セキュリティベンダーCheck Point Software Technologies(以下、Check Point)は、MicrosoftのOS「Windows」が搭載する機能に3つの脆弱(ぜいじゃく)性があることを自社のブログで公表した。これらの脆弱性を悪用すると、どのような攻撃が可能になるのか。Windows管理者は何に気を付ければいいのか。

「そもそもMSMQが危険」だと考えるべき?

 Check Pointのハイフェイ・リー氏が開示した3つの脆弱性は、Microsoftのメッセージキューイングサービス「Microsoft Message Queuing」(MSMQ)における以下の脆弱性だ。

  • CVE-2023-21554(別名QueueJumper)
  • CVE-2023-21769
  • CVE-2023-28302

 QueueJumperは、標的のサーバで不正なプログラムを動作させるリモートコード実行(RCE)を可能にする。攻撃者が悪用した場合でもユーザーは気付きにくいという点で特に危険だと言える。

 MicrosoftはMSMQを数年間アップデートしておらず、事実上サービスは終了しているも同然の状態だ。しかしMSMQは2023年6月時点でも使用可能で、設定ツールの「コントロールパネル」やコマンド実行ツール「PowerShell」のコマンドを使えば有効化できる。リー氏はこの点を問題点として指摘する。

 QueueJumperを悪用する攻撃者は、TCP(伝送制御プロトコル)の1801番ポートにアクセスして、標的のサーバでRCEを実行できた恐れがある。つまり「悪意のあるパケットを1801番ポートに1つ送信するだけで、MSMQの一連のプロセスを乗っ取ることができる」(リー氏)ということだ。

 Check Pointの研究所Check Point Researchは、MSMQの危険性を詳細に把握するために、インターネットに接続している機器のスキャンを実施した。その結果、MSMQを実行し、かつTCPの1801番ポートをインターネットに開放しているIPアドレスが36万件以上存在する状況が浮かび上がった。この件数はインターネットに公開されているPCのみを対象とし、社内LANでMSMQを実行するPCは含まない。

 MSMQを使用するアプリケーションは複数存在する。このようなアプリケーションをWindows搭載PCにインストールした場合、ユーザーが気付かないうちにMSMQが有効になる可能性がある。

 Check PointがWindows管理者に推奨する対策は以下の通りだ。

  • サーバとクライアント端末にMSMQがインストールされているかどうかをチェックすること
  • PCでMSMQが実行されているかどうかを確認すること
  • TCPの1801番ポートがリッスン状態(外部からの接続を待機している状態)かどうかを確認すること

 PCにMSMQがインストール済みの場合、「MSMQが本当に必要かどうかを検討するべきだ」とリー氏はアドバイスする。「不要な攻撃対象を排除することが、セキュリティ対策の非常に優れたベストプラクティスだ」(同氏)


 後編は、RCEを引き起こす可能性があるWindows製品の脆弱性を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news158.png

売れるネット広告社、「売れるD2Cつくーる」にLP自動生成機能を追加
売れるネット広告社が「売れるD2Cつくーる」に、新たに「ランディングページ自動生成(AI...

news132.jpg

「Apple炎上」から何を学ぶか?(無料eBook)
Appleが新しい「iPad Pro」の広告用に公開した「Crush!」が世界中で大炎上したのは記憶に...

news105.jpg

Web担当者を悩ませる「フォーム営業」をブロック 「ヘルプドッグフォーム」に新機能
ノーコードのフォーム作成管理システム「ヘルプドッグフォーム」が「フォーム営業ブロッ...