WannaCry級の被害が危惧されるリモートデスクトップサービスの危険な脆弱性「BlueKeep」について

2019年5月のマイクロソフトセキュリティアップデートにおいて、サポート切れのOSに対する修正プログラムが例外的に提供されました。今回の例外措置の原因となった「BlueKeep」と名づけられた脆弱性は、リモートデスクトップサービスに対して特別に細工したパケットが送信されるだけで、認証の必要も無しに対象システムにおいて任意のコードが実行されてしまうという非常にインパクトの大きい脆弱性です。

マイクロソフト社は、例外措置として今回サポートがすでに切れているWindows XPやWindows Server 2003についても修正プログラムを提供しましたが、こうした例外措置は過去ではWannaCryが悪用したSMBv1の脆弱性の際にも行われました。マイクロソフト社自身が「BlueKeep」という脆弱性でのWannaCry級の被害の発生を危惧しているということになります。

リモートデスクトップサービスをインターネットで公開している場合には、攻撃者から直接攻撃される可能性があるため、非常に危険です。そして、内部ネットワーク環境の場合でも、この脆弱性を悪用したワームが持ち込まれ、感染を広げることが危惧されるため、該当するすべての環境において、早急かつ確実に修正プログラムを適用することをマイクロソフト社は強く推奨しています。

上述の通り、サポート切れのWindows XPやWindows Server 2003にもこの脆弱性の修正プログラムが提供されましたが、サポート中のOSと違って、Windows Updateなどの自動アップデート機能は使えず、マイクロソフト社の提供する『CVE-2019-0708のユーザー向けガイダンス』のページから利用者自身がダウンロードして、適用する必要があることに注意が必要です。通常のアップデート方法で対応できない今回のようなケースもあるため、セキュリティを確保するには、積極的な情報収集が重要になります。

しかし、今回、そのような積極的に情報収集を行う技術者を狙い、マルウェア検査サイトやソフトウェア開発プラットフォームなどのセキュリティ情報の収集に使われるサイトに、脆弱性の実証プログラムの偽物を大量にアップロードされました。この偽物の実証プログラムには、実行端末にバックドアを仕掛ける悪質なものもあったようです。このような罠やフェイク情報に惑わされないように、信頼できる情報ソースを正しく選別できるような組織対応力を普段から強化しておくことが重要です。

なお、5月末時点で前提条件付きではあるものの本脆弱性を悪用可能な実証コードが登場しています。ワーム機能を有したマルウェアの登場も時間の問題です。繰り返しになりますが、早急かつ確実な修正プログラム適用が必要です。

《参考情報》