サポート切れの「IIS 6」でゼロデイ脆弱性が発見される--パッチ提供の予定はなし

Zack Whittaker (ZDNET.com) 翻訳校正: 編集部

2017-03-31 13:21

 「Windows Server」上のウェブサーバサービス「Windows Internet Information Services 6.0」(IIS 6)の脆弱性が、華南理工大学のセキュリティ研究者らによって公表された。このソフトウェアは既にサポートが終了しているため、パッチが公開される見込みはないものの、世界中でまだ数十万台ものサーバが稼働している。

 同大学の2名のセキュリティ研究者は、GitHub上でこの脆弱性の実証コードを公開するとともに、遠隔地からの同脆弱性を悪用した攻撃が2016年7月頃から発生していたと記している。

 影響のあるIIS 6は「Windows Server 2003」とともにリリースされた製品であり、2015年でサポートが終了している。

 このためMicrosoftは、同脆弱性を修正する予定はないとしている。

 Microsoftの広報担当者は「この問題は、現在サポートしているバージョンに影響を与えない」と述べるとともに、「われわれは顧客に対して、最新のOSにアップグレードし、堅牢かつ最新の保護によるメリットを得ることを引き続き推奨している」と述べている。

 インターネットに接続されている機器を検索できるサイト「Shodan」によると、IIS 6を稼働させている旧式のサーバがいまだに60万台以上存在しており、その多くは米国と中国にあるという。

 Trend Microの研究者らは同社ブログで、この脆弱性を悪用した攻撃が成功した場合、遠隔地からのコード実行が可能になるものの、攻撃が失敗した場合でもDoS攻撃につながる状況を作り出せる可能性があると述べている。

 また研究者らは、WebDAVの無効化によって同脆弱性の影響を低減できるはずだとも述べている。もちろん、OSをより新しい、セキュアなバージョンにアップグレードするという選択肢は常に有効だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]