編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

サポート切れの「IIS 6」でゼロデイ脆弱性が発見される--パッチ提供の予定はなし

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2017-03-31 13:21

 「Windows Server」上のウェブサーバサービス「Windows Internet Information Services 6.0」(IIS 6)の脆弱性が、華南理工大学のセキュリティ研究者らによって公表された。このソフトウェアは既にサポートが終了しているため、パッチが公開される見込みはないものの、世界中でまだ数十万台ものサーバが稼働している。

 同大学の2名のセキュリティ研究者は、GitHub上でこの脆弱性の実証コードを公開するとともに、遠隔地からの同脆弱性を悪用した攻撃が2016年7月頃から発生していたと記している。

 影響のあるIIS 6は「Windows Server 2003」とともにリリースされた製品であり、2015年でサポートが終了している。

 このためMicrosoftは、同脆弱性を修正する予定はないとしている。

 Microsoftの広報担当者は「この問題は、現在サポートしているバージョンに影響を与えない」と述べるとともに、「われわれは顧客に対して、最新のOSにアップグレードし、堅牢かつ最新の保護によるメリットを得ることを引き続き推奨している」と述べている。

 インターネットに接続されている機器を検索できるサイト「Shodan」によると、IIS 6を稼働させている旧式のサーバがいまだに60万台以上存在しており、その多くは米国と中国にあるという。

 Trend Microの研究者らは同社ブログで、この脆弱性を悪用した攻撃が成功した場合、遠隔地からのコード実行が可能になるものの、攻撃が失敗した場合でもDoS攻撃につながる状況を作り出せる可能性があると述べている。

 また研究者らは、WebDAVの無効化によって同脆弱性の影響を低減できるはずだとも述べている。もちろん、OSをより新しい、セキュアなバージョンにアップグレードするという選択肢は常に有効だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]