Microsoft、WDSの脆弱性対策を発表 2026年4月に既定で無効化へ：セキュリティニュースアラート

MicrosoftはWDSの自動展開機能における脆弱性対策を発表した。応答ファイルの傍受を防ぐため、2026年4月から同機能は既定で無効化される。管理者は段階的な仕様変更への早期対応や代替手法への移行が求められる。

[ITmedia エンタープライズ編集部，ITmedia]

　Microsoftは2026年1月13日（現地時間）、「Windows Deployment Services」（WDS）における自動展開機能に関するセキュリティ対策を公表した。

　認証されていないRPC通信を通じて応答ファイル（Unattend.xml）が送信される設計により、資格情報の漏えいや不正コード実行につながる可能性がある脆弱（ぜいじゃく）性（CVE-2026-0386）への対応となる。

WDS自動展開におけるセキュリティ上の欠陥とその影響

　WDSはネットワーク経由で「Windows」を配布する仕組みであり、自動展開では応答ファイルを使ってインストール工程を自動化する。このファイルには認証情報などの重要データが含まれる場合があり、同一ネットワークの攻撃者により通信が傍受された場合、情報流出や不正操作の踏み台となる危険が指摘されている。

　同社は対策として二段階の変更を実施する。第一段階は2026年1月の更新で、ログ出力機能とレジストリー設定が追加され、安全な構成を選択できるようになった。管理者は該当設定を変更することで、自動展開機能を停止し、未認証アクセスを遮断できる。

　続く第二段階では2026年4月以降、既定設定が安全優先に移行し、自動展開機能は初期状態で無効となる。設定変更を適用しない場合、同時期の更新適用後に機能は利用できなくなる。必要に応じて再度の有効化は可能だが、安全性の低下を伴うため恒久的な運用は推奨されていない。また、新たに追加されたイベントログにより、不正な接続試行や安全でない構成の使用が検知可能となる。安全設定では不正な要求を遮断した警告が記録され、安全でない設定では構成上の問題を示すエラーが出力される。

　今回の問題はWDS固有の仕組みに起因しており、「Configuration Manager」には影響しない。Microsoftは管理者に対し、現在の構成確認や更新プログラムの適用、該当設定の変更、ログ監視の実施を求めている。自動展開機能に依存しない新たな展開手法への移行準備も必要とされる。

　企業のシステム導入や更新作業を支える基盤機能であるだけに、今回の変更は運用手順の見直しを迫る内容となる。安全性確保を優先した設計への移行が進む中、各組織の対応が問われる。