inetpubフォルダは、特にWindows 11においてWindowsシステムの重要なコンポーネントです。しかし、このフォルダの存在は、多くのユーザーが気づいていない深刻なサイバーセキュリティリスクをもたらします。このフォルダは一般ユーザーによって操作される可能性があり、デバイスのセキュリティが侵害される可能性があります。このガイドでは、inetpubフォルダがどのように悪用されるかを詳しく解説し、Microsoftが正式な解決策を実装するまでの間、これらのセキュリティ脆弱性を軽減するための具体的な手順を概説します。
Inetpubフォルダのセキュリティリスクの解明
2025年4月の累積アップデート以降、Windows 11システムはCドライブ内に空のinetpubフォルダを自動的に作成するようになりました。これは、以前悪用された脆弱性を修正するためのものでした。しかし残念ながら、この変更によって意図せず新たなリスクが生じてしまいました。攻撃者は本来のフォルダをディレクトリジャンクションに置き換えることができるのです。この誤った方向への誘導は、Windows Updateの重大な障害につながる可能性があります。
驚くべきことに、システムにアクセスできるユーザーなら誰でも、管理者権限を必要とせずに、inetpubフォルダの最終的な保存先を変更する簡単なコマンドを実行できます。セキュリティ専門家のKevin Beaumont氏が発見したように、このコマンドを実行するとmklink /J C:\inetpub C:\Windows\System32\notepad.exe、フォルダへのアクセスがメモ帳(またはその他のファイル)にリダイレクトされ、重要なアップデートが正常に動作しなくなる可能性があります。
WindowsサービススタックはSYSTEM権限で動作し、C:\inetpubを信頼できるディレクトリと見なします。再解析ポイントや所有権の検証が行われないため、そこにファイルをステージングしようとする際に、誤ってファイルへのジャンクションを検出し、更新の失敗やロールバックが発生する可能性があります。
リスクの軽減:実用的な一時的な解決策
現時点では、Microsoftはこの脆弱性を認めておらず、今後の修正についても概要を明らかにしていません。その間、この脆弱性の悪用可能性を低減するためのいくつかの対策を実施することができます。
ディレクトリジャンクションを作成するには、親フォルダへの書き込み/削除権限が必要です。SYSTEMとTrustedInstallerの権限は保持したまま、すべてのユーザーアカウントからこれらの権限を取り消すことで、mklink /J「C:\inetpub」におけるシステム以外のプロセス(管理者を含む)の利用を阻止できます。以下の詳細な手順に従ってください。
- C ドライブに移動し、inetpub フォルダを右クリックして、[プロパティ]を選択します。
- [セキュリティ]タブに切り替えて、 [詳細設定]をクリックします。
- [継承を無効にする]ボタンを選択し、プロンプトが表示されたら[このオブジェクトから継承されたすべてのアクセス許可を削除する]を選択します。
- 「追加」をクリックし、「プリンシパルを選択」をクリックします。表示されるダイアログで「」と入力し、 「名前の確認」
SYSTEMを押して「OK」をクリックします。 - [基本権限]の下で[フルコントロール]をチェックし、最後に[OK]をクリックします。
- 前の手順を繰り返して「フルコントロール」
NT SERVICE\TrustedInstallerを追加し、許可したらもう一度「OK」をクリックします。開いているすべてのダイアログで「OK」をクリックして終了します。
これらの設定により、標準ユーザーはinetpubフォルダにアクセスしたり変更したりすることができなくなり、アクセスしようとすると「アクセスが拒否されました」というメッセージが表示されます。重要なのは、これによりWindowsシステムとアップデータがフォルダへのシームレスなアクセスを維持できるようになることです。
これらの変更を元に戻す場合は、「セキュリティの詳細設定」ウィンドウに戻り、「継承を有効にする」を選択して「適用」をクリックします。この操作により、元の権限設定が復元されます。その後、 SYSTEMとTrustedInstallerのエントリを選択して「削除」をクリックすると、これらのエントリを削除できます。
この解決策は、Microsoftが脆弱性を修正するまでの間、コンピュータを保護するのに役立ちます。権限を調整することで、Windows Updateが問題なく実行されるようになります。ただし、更新中に問題が継続する場合は、権限を元の状態に戻す前に、Windows Updateコンポーネントをリセットすることを検討してください。
よくある質問
1. Windows 11 の inetpub フォルダーの目的は何ですか?
inetpub フォルダーは主に、Web サイトやその他の Web アプリケーションをホストするためのファイルを含む、インターネット インフォメーション サービス (IIS) に関連する Web サービスとアプリケーションを格納するために使用されます。
2.inetpub フォルダーが侵害されたかどうかを確認するにはどうすればよいですか?
inetpubフォルダ内の異常な変更を確認するには、予期しないファイルやフォルダを探します。作成していない、または認識していない新しいディレクトリやファイルタイプが見つかった場合は、エクスプロイト攻撃の兆候である可能性があります。
3.inetpub の脆弱性に対する恒久的な解決策は予定されていますか?
現時点では、Microsoftはinetpubディレクトリの脆弱性に対する恒久的な解決策に関する決定的なアップデートを提供していません。今後のアップデートやパッチについては、Microsoftの公式チャネルをご確認ください。
コメントを残す ▼