Windows Update を止めてしまう “inetpub” フォルダ削除：沈黙を貫く Microsoft

Microsoft’s Patch for Symlink Exploit Introduces New Windows Update DoS Flaw

2025/04/25 SecurityOnline — 2025年4月に Microsoft は、Windows に存在するセキュリティ脆弱性 CVE-2025–21204 に対する修正の一環として、SYSTEM ルート・ディレクトリに “inetpub” という空のフォルダを作成した。このディレクトリの用途は、Internet Information Services (IIS) が Web サイトのファイルを保存するためのものだが、なんの説明もなく出現したことで、多くのユーザーがバグだと思い込み、手動で削除したケースもあるという。

しかし、その後に Microsoft が明らかにしたのは、この重要とは思えないフォルダが、セキュリティ更新プログラムの適用において重要な役割を果たすことだった。したがって、この “inetpub” フォルダを削除すると Windows Update のメカニズムが中断され、それ以降のセキュリティ更新プログラムのインストールができくなってしまう。さらに、このフォルダを手動で再作成するだけでは意味がないという。このフォルダは特定の権限設定を必要とし、IIS により自動的に生成される必要があるのだ。

“inetpub” フォルダの存在は、Windows Server 2008 R2 から Windows 11 に至るまで、現時点でサポート対象とされる、すべての Windows バージョンに影響を及ぼす。したがって、更新プログラムを継続的に受け取るシステムは、このフォルダを適切な権限構造で保持する必要がある。それが行われないと、更新プログラムのインストールが失敗し、自動的にロールバックされる可能性が生じる。

最近のブログ記事で、サイバー・セキュリティ研究者の Kevin Beaumont は、この特別な権限を持つ空フォルダを作成するというメカニズムに、重大な欠陥があることを指摘した。具体的に言うと、管理者以外のユーザーが権限昇格なしで、この設定を悪用できることである。つまり、フォルダの権限を変更することで、将来のセキュリティ更新プログラムのインストールを効果的にブロックできてしまう。

Kevin Beaumont が実証したのは、コマンド・プロンプトを用いて “mklink /j c:\inetpub c:\windows\system32\notepad.exe” という命令を発行することで、この脆弱性を悪用できることだ。このコマンドは、”inetpub” から Notepad 実行ファイルへのジャンクション・リンクを作成しようとする。それにより、権限が変更されると、Windows Update は正常に動作しなくなる。

このエクスプロイトは、管理者権限を必要としないため、攻撃者はフィッシング攻撃を通じて企業ユーザーを簡単に騙し、上記のコマンドを実行させることが可能となる。そしてコマンドが実行されると、標的のマシンはセキュリティ更新プログラムを受け取れなくなり、将来的に攻撃者に悪用される可能性のある、脆弱性を持ち続けることになる。

セキュリティ・ベストプラクティスを厳格に遵守する IT 管理者であれば、Windows Update が機能しなくなったことに気付くかもしれないが、そうではない管理者は、この異常を見逃してしまうだろう。この見落としにより、社内ネットワーク全体が、新たな脅威に対して無防備な状態になり得るのだ。

振り返ってみると、Microsoft のパッチ適用方法は洗練されていなかったように思われる。この問題が発生した当初において、同社が更新ログで “inetpub” フォルダについて一切言及していなかった理由も、おそらく、そこにあるのだろう。このフォルダの機能を公開すれば、攻撃者に対して、悪用の情報を与えることになりかねない。

Kevin Beaumont は Microsoft に対して、この脆弱性を報告したが、２週間が経っても応答がないという。このような粗雑な回避策が、セキュリティに及ぼす潜在的な影響を考慮すると、Microsoft は根本から更新メカニズムを改訂し、このフォルダを完全に不要にするかもしれない。

ただし、当面の間においてユーザーに強く推奨されるのは、”inetpub”フォルダや、その権限などを変更／削除しないことだ。すでに、このフォルダを削除してしまった場合には、IIS を有効化することで復元できる。

脆弱性 CVE-2025–21204 の修正により、新たな脆弱性が発生してしまったようです。思わぬ形での不具合には、避けられないものもありますが、ユーザーへの情報共有が行われないと、不安に感じてしまいます。現時点での回避策は、”inetpub”フォルダやその権限を変更／削除しないことだけとのことです。Windows ユーザーさんは、十分にご注意ください。よろしければ、Microsoft で検索も、ご参照ください。