Microsoft、WDSの脆弱性対策を発表 2026年4月に既定で無効化へ:セキュリティニュースアラート
MicrosoftはWDSの自動展開機能における脆弱性対策を発表した。応答ファイルの傍受を防ぐため、2026年4月から同機能は既定で無効化される。管理者は段階的な仕様変更への早期対応や代替手法への移行が求められる。
Microsoftは2026年1月13日(現地時間)、「Windows Deployment Services」(WDS)における自動展開機能に関するセキュリティ対策を公表した。
認証されていないRPC通信を通じて応答ファイル(Unattend.xml)が送信される設計により、資格情報の漏えいや不正コード実行につながる可能性がある脆弱(ぜいじゃく)性(CVE-2026-0386)への対応となる。
WDS自動展開におけるセキュリティ上の欠陥とその影響
WDSはネットワーク経由で「Windows」を配布する仕組みであり、自動展開では応答ファイルを使ってインストール工程を自動化する。このファイルには認証情報などの重要データが含まれる場合があり、同一ネットワークの攻撃者により通信が傍受された場合、情報流出や不正操作の踏み台となる危険が指摘されている。
同社は対策として二段階の変更を実施する。第一段階は2026年1月の更新で、ログ出力機能とレジストリー設定が追加され、安全な構成を選択できるようになった。管理者は該当設定を変更することで、自動展開機能を停止し、未認証アクセスを遮断できる。
続く第二段階では2026年4月以降、既定設定が安全優先に移行し、自動展開機能は初期状態で無効となる。設定変更を適用しない場合、同時期の更新適用後に機能は利用できなくなる。必要に応じて再度の有効化は可能だが、安全性の低下を伴うため恒久的な運用は推奨されていない。また、新たに追加されたイベントログにより、不正な接続試行や安全でない構成の使用が検知可能となる。安全設定では不正な要求を遮断した警告が記録され、安全でない設定では構成上の問題を示すエラーが出力される。
今回の問題はWDS固有の仕組みに起因しており、「Configuration Manager」には影響しない。Microsoftは管理者に対し、現在の構成確認や更新プログラムの適用、該当設定の変更、ログ監視の実施を求めている。自動展開機能に依存しない新たな展開手法への移行準備も必要とされる。
企業のシステム導入や更新作業を支える基盤機能であるだけに、今回の変更は運用手順の見直しを迫る内容となる。安全性確保を優先した設計への移行が進む中、各組織の対応が問われる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
知らない番号でも一瞬で正体判明? 警察庁推奨アプリの実力を検証
警察庁が“推奨”する特殊詐欺対策アプリが、無料で使えるようになりました。電話を取る前に危険な番号を判定し、ブロックできます。というわけで筆者も実際に試してみたのですが、詐欺対策とは別の「意外な使い道」も見えてきました。
監査対策のはずが現場崩壊? 情シスがハマるツール導入のわな
評判や監査対応に背中を押され、最新ツールを導入したはずなのに、なぜ現場は楽にならないのでしょうか。止まる運用、鳴り続けるアラート、形骸化するポリシー――。情シスが陥りがちな“再現性の高い失敗”から、ツール選定の穴をあぶり出します。
その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。
★4を目指すのは正解か? SCS評価制度が企業に突き付ける“本当の論点”
2026年度末の本格運用に向けて議論が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」。ただ、この本質は“星の数”ではありません。制度全体を俯瞰し、取引関係や成熟度、外部支援――制度設計に込められたメッセージを読み解きます。