「Windows Server」上のウェブサーバサービス「Windows Internet Information Services 6.0」(IIS 6)の脆弱性が、華南理工大学のセキュリティ研究者らによって公表された。このソフトウェアは既にサポートが終了しているため、パッチが公開される見込みはないものの、世界中でまだ数十万台ものサーバが稼働している。
同大学の2名のセキュリティ研究者は、GitHub上でこの脆弱性の実証コードを公開するとともに、遠隔地からの同脆弱性を悪用した攻撃が2016年7月頃から発生していたと記している。
影響のあるIIS 6は「Windows Server 2003」とともにリリースされた製品であり、2015年でサポートが終了している。
このためMicrosoftは、同脆弱性を修正する予定はないとしている。
Microsoftの広報担当者は「この問題は、現在サポートしているバージョンに影響を与えない」と述べるとともに、「われわれは顧客に対して、最新のOSにアップグレードし、堅牢かつ最新の保護によるメリットを得ることを引き続き推奨している」と述べている。
インターネットに接続されている機器を検索できるサイト「Shodan」によると、IIS 6を稼働させている旧式のサーバがいまだに60万台以上存在しており、その多くは米国と中国にあるという。
Trend Microの研究者らは同社ブログで、この脆弱性を悪用した攻撃が成功した場合、遠隔地からのコード実行が可能になるものの、攻撃が失敗した場合でもDoS攻撃につながる状況を作り出せる可能性があると述べている。
また研究者らは、WebDAVの無効化によって同脆弱性の影響を低減できるはずだとも述べている。もちろん、OSをより新しい、セキュアなバージョンにアップグレードするという選択肢は常に有効だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
