依然として100万台弱のWindowsシステムに「BlueKeep」の脆弱性

　セキュリティ企業の調査で、「BlueKeep」の脆弱性が存在するWindows PCは100万台弱であることが分かった。BlueKeep（CVE-2019-0708）は旧バージョンのWindowsに存在するリモートデスクトップ（RDP）の脆弱性だ。

　この問題の存在は、2019年5月の月例パッチで明らかになった。Microsoftはセキュリティパッチを公開したが、その際、このBlueKeepの脆弱性はワームに悪用される可能性があると警告している。これは、2017年に猛威を振るった「WannaCry」「NotPetya」「Bad Rabbit」などのランサムウェアで悪用された「EternalBlue」と同じように、この脆弱性を利用して、自分自身をコピーして拡散するマルウェアを作成できることを意味している。

　この脆弱性の危険度は極めて高いが、幸いなことに悪用された事例はまだ見つかっていない。これは主に、攻撃者がマルウェアに組み込んで攻撃に利用できるデモコードが出回っていないことが理由だ。

　幸い、企業はセキュリティパッチを適用することでこのリスクを緩和できる。現在、BlueKeepを悪用した攻撃に対して脆弱なバージョンのWindowsである、Windows XP、Windows 7、Windows Server 2003、Windows Server 2008にパッチが提供されている。

脆弱性が存在するシステムの数は700万ではなく100万

　オフェンシブセキュリティ調査会社Errata Securityの社長であり、ネットワークスキャン用のツール「Masscan」の作者でもあるRobert Graham氏は、米国時間5月28日に公開されたレポートの中で、BlueKeepを悪用した攻撃に脆弱なWindowsシステムに関する、より正確な統計を発表した。

　当初はインターネットに接続されている760万台近くのWindowsシステムに脆弱性が存在すると言われていたが、Graham氏の発表によれば、実際の数字は95万台に近いという。

　同氏の調査で、インターネットに対してポート3389（RDP）を開いている約760万台のシステムのうち多くは、実際にはWindowsシステムではないか、このポートではRDPのサービスを提供していないことが分かった。

　Graham氏は、RDPサービスがインターネットからアクセス可能な状態になっているWindowsシステムのうち、約150万台はスキャンに対してすでにパッチが適用されているシステムに特有の反応を返しており、安全な状態だと述べている。

　しかし、すでにパッチを適用したシステムの数よりも少ないとは言え、95万台は小さな数字ではない。

　Graham氏は、「ハッカーは1～2カ月のうちに確実な攻撃手段を発見し、これらのマシンに大惨事を引き起こす可能性が高い」と警告している。

　また、スキャンによる調査には制約があるため、組織内に隔離されているWindowsシステムは調査できておらず、内側には多くの脆弱なシステムが隠されている可能性が高いという。

　企業がBlueKeepに対するセキュリティパッチを適用するために残された時間は少ない。セキュリティの専門家は、いつ攻撃が始まってもおかしくないと考えている。