Windows 11に標準搭載されているセキュリティ機能「Microsoft Defender」の最新アップデートに、攻撃者がPCのディスク容量を意図的に満杯にできてしまう不具合があると報告されている。海外メディアNeowinが伝えたもので、悪用されればディスクの空き容量が枯渇し、アプリの起動失敗やシステムの不安定化、最悪の場合はOSの正常な動作継続が困難になるおそれがある。

何が起きているのか

Defenderはマルウェアの検出時、疑わしいファイルを隔離(Quarantine)したり、スキャンログを記録したりする挙動を持つ。今回報告されている不具合は、細工されたファイルや特定の操作をトリガーにこの隔離・ログ処理が異常な形で繰り返され、コピーやログが際限なく生成され続けることでディスク容量を食い潰す、というものとみられる。いわゆる「リソース枯渇型」の不具合で、情報を盗み出したり権限を奪ったりする侵入型の脆弱性とは性質が異なり、サービス妨害(DoS)に近い挙動だ。

セキュリティソフト自身が持つ「守るための処理」が逆手に取られる構図は目新しいものではなく、アンチウイルス製品では過去にも類似の報告が繰り返されてきた。今回の件も、Defenderのアップデートで新たに導入・変更された処理が想定外の入力に対して脆弱だった、という典型的なリグレッションの一種と考えられる。

実務への影響

日本の企業でWindows 11とMicrosoft Defenderを使っている環境は非常に多く、他人事ではない。特に以下の点は実務でチェックしておきたい。

  • 即座の全展開を避ける: Intune・WSUS・Configuration Managerなどでリング展開(一部端末→段階拡大)の運用をしている場合、Defenderのプラットフォーム更新やエンジン更新もその対象に含め、一斉配信を避ける
  • ディスク容量の監視アラート: サーバー・エンドポイント問わず、ディスク使用率の急増を検知するアラートを仕込んでおけば、この種の不具合が発生した際の被害を最小化できる
  • 修正パッチの適用状況を追う: Microsoft側が修正版を出し次第、検証環境で確認してから本番展開するフローを徹底する

筆者の見解

正直に言うと、Windows Updateまわりは最近「すぐ当てたら壊れた」という報告も増えていて、判断が難しくなってきている。今回のようにセキュリティ機能そのもののアップデートが新たな問題を持ち込むケースが出てくると、その傾向はなおさら顕著になる。

だからこそ、リリース直後に全台へ即時適用するのではなく、数日様子を見てから展開する、という判断は決して臆病なのではなく、立派なセキュリティ判断だと考えている。Defenderのような基盤コンポーネントで足元をすくわれるような不具合が出るのはもったいない話で、Microsoftには基盤の品質でこそ正面から勝負してほしいという期待を込めて、あえて厳しめに見ておきたい。

段階的ロールアウトや監視体制の整備は、こうした不確実性を前提にした「道のど真ん中」の運用であり、特別なことではなく当たり前に備えておくべき基本動作だ。今回の件を機に、自組織のパッチ適用フローを見直すきっかけにしてもよいだろう。


出典: この記事は New Microsoft Defender update can let hackers totally fill your Windows 11 PC disk space の内容をもとに、筆者の見解を加えて独自に執筆したものです。