OSやミドルウェア等の脆弱性対策〜Windowsサーバへの対策

前回の記事でOSやミドルウェア等の脆弱性対策について、全ての企業・組織が行うべき対策としてSSL-VPN機器やWebサイト・Webサービスにおける対策を記載しましたが、今回はWindowsサーバについて取り上げます。Windowsサーバは、社内OA（ドメインコントローラ、ファイルサーバ、メールサーバ、プリンタサーバ等）や社内業務（勤務管理、給与管理等）を担っていることが多く、業務システムにも用いられています。これらのサーバは企業・組織内のネットワークに接続されており、通常、インターネットの不特定多数からはアクセスできません。正確には、メールサーバ等一部のサーバはインターネットの不特定多数からアクセス可能ですが、アクセス可能なプロトコルを制限し、かつ、通常はそのプロトコル経由でサーバが侵害されることはありませんので少し大雑把ですが「インターネットの不特定多数からはアクセスできない」と捉えておきます。なお、Webサイト・WebサービスでWindowsサーバが使われているケースもありますが、少数派ですので、一旦、横に置いて考えます。

Windowsサーバの脆弱性

まずはどのような脆弱性がどの程度発生しているのか見ていきましょう。Microsoft社が月次で公表しているセキュリティ更新プログラム（いわゆるパッチ）ですが、この記事を書いている時点の直近である2023年7月定例のサマリーは以下の内容です。

脆弱性の件数はCVE番号ベースで130件、うち深刻度が“Critical”のものが9件です。深刻度が “Critical”の脆弱性が含まれるソフトウェアは、Windows 11/10、Windows Server 2022/2019/2016/2012 R2/2012およびSharePointです。また、「Windows Routing and Remote Access Service (RRAS)のリモートコード実行の脆弱性（CVE-2023-35365、CVE-2023-35366、CVE-2023-35367）」と、「Microsoft Message Queuingのリモートコード実行の脆弱性（CVE-2023-32057）」については、CVSS基本値が9.8と高く、脆弱性の悪用や技術情報の公開は確認されていないものの、企業組織に対して早急なリスク評価とセキュリティ更新プログラムの適用を推奨します。

ちなみに、CVSS基本値が9.8と高く早急な適用が推奨されている4件の脆弱性は、どれもWindowsサーバに影響があるものです。また、CVSS基本値が9.8と高く早急な適用が推奨される脆弱性は、毎月のように発生しています。これでは毎月パッチを適用しなければならないか、「インターネットの不特定多数からはアクセスできない」からパッチを適用しなくとも大丈夫だという両極端な考えになりかねません。

真に危険なWindowsサーバの脆弱性

Windowsサーバについては「インターネットの不特定多数からはアクセスできない」からパッチを適用しなくとも大丈夫なのでしょうか？　答えは「No」です。では、毎月パッチを適用する必要があるのでしょうか？　できるに越したことはありませんが、毎月とは行かなくとも、サーバの重要度や侵害された際の影響の大きさ、すなわちサーバのリスクに応じたサイクルでパッチを適用することが現実的な戦略だと考えています。

ここで、Windowsサーバの脆弱性について、もう少し具体的に見ていきます。前述したCVSS基本値が9.8と高く早急な適用が推奨されている4件の脆弱性ですが、これらはRouting and Remote Access Service (RRAS)やMicrosoft Message Queuingというどれもデフォルトでは無効になっているサービスを有効にしていないと影響を受けません。つまり、ネットワーク内の大多数のWindowsサーバにとっては影響のない脆弱性です。加えて、これらの脆弱性はどれもMicrosoft社が「悪用される可能性は低い」と評価しています。「インターネットの不特定多数からはアクセスできない」ことを考えると、このような脆弱性を殊更危険だというのは過剰反応のように思います。それでは、どのような脆弱性が真に危険なのでしょう。例えば2020年3月に公表された以下の脆弱性です。

Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性(CVE-2020-0796) 
CVSS基本値 10.0 （CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H）
Microsoft Server Message Block 3.1.1 (SMBv3) プロトコルが特定の要求を処理する方法に、リモートでコードが実行される脆弱性が存在する。攻撃者がこの脆弱性を悪用した場合、標的のサーバーまたはクライアントでコードを実行できるようになる可能性があります。

SMBは、Windowsの様々な共有機能で使われているプロトコルであり、ほぼ全てのWindowsサーバで有効になっています。つまり、細工したSMBパケットを送るだけで送信先のコンピュータにおいて任意のコードが実行可能な脆弱性という訳です。このような脆弱性はマルウェアの拡散活動で悪用されることがあり「Wormable（Worm-able）な脆弱性」と呼ばれることもあります。ちなみに、Worm（ワーム）とは拡散活動を行うタイプのマルウェアの呼び名です。このようなWormableな脆弱性はWindowsサーバにとって最大の脅威です。なお、このような脆弱性は1年に1件あるかないかという頻度で発生しており、ここ数年では上記の他に2021年7月に公表された「PrintNightmare」と呼ばれるWindowsプリントスプーラサービスの脆弱性（CVE-2021-34527、CVE-2021-1675）があります。

Wormableな脆弱性であってもインターネットから直接攻撃されることはありませんが、何らかの手段でネットワーク内に侵入した攻撃者やネットワーク内のコンピュータに感染したマルウェアによって悪用されると、どのようなことが起こるかは想像に難くありません。このようなWormableな脆弱性に対しては、ネットワーク内の全てのWindowsコンピュータ（サーバ、PC、機器）にパッチを適用する必要があります。

次の真に危険な脆弱性は以下のような脆弱性です。

Windows DNS サーバのリモートコード実行の脆弱性 (CVE-2020-1350) 
CVSS基本値 10.0　（CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H）
不正なDNSレスポンスをWindows DNSサーバが適切に処理できない場合にリモートでコードが実行される可能性がある脆弱性です。DNS は基本的なネットワークコンポーネントであり、通常はドメインコントローラにインストールされるため、そのセキュリティが侵害されると、高レベルのドメインアカウントが侵害される可能性があります。

少しわかりづらいかもしれませんが、悪用することでドメインコントローラを侵害することができる脆弱性です。ドメインコントローラが侵害され攻撃者に乗っ取られるとドメインに所属している全てのコンピュータ（サーバやPC）が侵害されてしまう恐れがあります。このようなドメインコントローラを侵害可能な脆弱性は1年に1件程度の頻度で発生しています。ただし、この脆弱性はドメインコントローラのみ対応すればよいものです。

Windowsサーバのパッチ適用戦略

Windowsサーバにおける脆弱性の特徴としては、脆弱性の数が多いことと、実際の影響範囲や危険性を見切ることが難しいことが挙げられます。これらから、個々の脆弱性を分析し指示を行う方法では相当の負荷がかかるばかりか、抜け・漏れが発生する危険があります。そのため、規定を定め、つまりポリシーベースで定期的にパッチを適用することを提案します。毎月ではなく、サーバの侵害時リスクや重要性等を踏まえ、四半期から1年のサイクルでパッチを適用するのがよいのではないでしょうか。最長間隔を1年としたのは、Wormableな脆弱性への考慮と1年より長い間隔とすると現実的にはパッチを適用しないことになってしまいかねないからです。

ドメインコントローラやファイルサーバ、メールサーバ等の重要かつ業務プログラムが稼働していない（つまりパッチ適用による障害発生リスクが比較的低い）サーバについては四半期、できれば、さらに短いサイクルでの適用が望ましいです。ウィルス対策ソフトの管理サーバや資源配布サーバ等の他の多くのコンピュータに影響力を持つサーバも四半期サイクルでの適用を検討下さい。また、横に置いていたWebサイト・WebサービスにおけるWindowsサーバも四半期サイクルが望ましいです。それ以外のサーバについては、四半期や半期、1年サイクルでパッチを適用します。
加えて、パッチの定期的な適用を継続的に実施していくために、以下のような工夫も重要です。

• テストのコスト削減や不具合発生時のリスク低減のため、テスト環境から段階的に適用する。同じ環境でも片系ずつ適用する
• 公表1ヶ月後ぐらいから適用を開始する（パッチの不具合への考慮）

既存のサーバには定期的にパッチ適用と言うと難色を示すサーバも出てくると思います。そのようなサーバに限って重要な業務システムが稼働していることも少なくありません。このようなサーバに対しては、例外扱いとしアクセス制御等の堅牢化（Hardening）やバックアップ強化等の代替策を行うことも必要でしょう。肝心なことは、新たに導入されてゆくサーバにセキュアで持続可能なパッチ適用ポリシーを遵守させることなのです。

前回と今回の2回に渡ってOSやミドルウェア等の脆弱性対策について取り上げました。パッチ適用と一口に言っても一つの攻め方では無理があり、機器の使われ方やリスク、脅威動向、脆弱性の発生具合等を踏まえた類型化と、それぞれの類型に合わせた実現可能な攻め方が必要ではないでしょうか。この記事が皆さまの企業・組織におけるパッチ適用戦略の強化に少しでも貢献できれば幸いです。