マイクロソフト セキュリティ情報 MS15-030 - 重要

リモート デスクトップ プロトコルの脆弱性によりサービス拒否が発生する (3039976)

公開日: 2015 年 3 月 11 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、メモリ内のオブジェクトを適切に解放できない複数のリモート デスクトップ プロトコル (RDP) セッションを攻撃者が作成した場合にサービス拒否が起こる可能性があります。RDP は、サポートされている Windows オペレーティング システムでは既定で有効ではありません。RDP が有効になっていないシステムは危険にさらされません。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows 7、Windows 8、Windows Server 2012、Window 8.1、および Windows Server 2012 R2 について、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは、RDP がメモリ内のオブジェクトを管理する方法を修正することにより、この脆弱性を解決します。脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、サポート技術情報 3039976 を参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

影響を受けるソフトウェア

オペレーティング システム

最も深刻な脆弱性の影響

総合的な深刻度

置き換えられる更新プログラム

Windows 7

Windows 7 for 32-bit Systems Service Pack 1
(3035017)[1]

サービス拒否

重要

なし

Windows 7 for 32-bit Systems Service Pack 1
(3036493)

サービス拒否

重要

なし

Windows 7 for x64-based Systems Service Pack 1
(3035017)[1]

サービス拒否

重要

なし

Windows 7 for x64-based Systems Service Pack 1
(3036493)

サービス拒否

重要

なし

Windows 8 および Windows 8.1

Windows 8 for 32-bit Systems
(3035017)

サービス拒否

重要

MS14-030 の 2965788

Windows 8 for x64-based Systems
(3035017)

サービス拒否

重要

MS14-030 の 2965788

Windows 8.1 for 32-bit Systems
(3035017)

サービス拒否

重要

なし

Windows 8.1 for x64-based Systems
(3035017)

サービス拒否

重要

なし

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012
(3035017)

サービス拒否

重要

MS14-030 の 2965788

Windows Server 2012 R2
(3035017)

サービス拒否

重要

なし

Server Core インストール オプション

Windows Server 2012 (Server Core インストール)
(3035017)

サービス拒否

重要

MS14-030 の 2965788

Windows Server 2012 R2 (Server Core インストール)
(3035017)

サービス拒否

重要

なし

[1]Windows 7 の Enterprise エディションと Ultimate エディションが影響を受けます。RDP 8.0 がシステムにインストールされている場合は、Windows 7 のサポートされている全エディションが影響を受けます。詳細については、更新プログラムに関する FAQ を参照してください。

更新プログラムに関する FAQ

Windows 7 のどのエディションが影響を受けますか?
Windows 7 の Enterprise エディションと Ultimate エディションが影響を受けます。RDP 8.0 がシステムにインストールされている場合は、Windows 7 のサポートされている全エディションが影響を受けます。ローカル システム上で RDP 8.0 を実行しているが、RDP 8.0 で提供されている新しいサーバー側機能を特に必要としていない場合は、RDP 8.1 にアップグレードして、更新プログラム 3035017 を適用しない (または削除する) ことを推奨します。

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、3 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響

影響を受けるソフトウェア

リモート デスクトップ プロトコル (RDP) のサービス拒否の脆弱性 - CVE-2015-0079

総合的な深刻度

Windows 7

Windows 7 for 32-bit Systems Service Pack 1
(3035017)

重要
サービス拒否

重要

Windows 7 for 32-bit Systems Service Pack 1
(3036493)

重要
サービス拒否

重要

Windows 7 for x64-based Systems Service Pack 1
(3035017)

重要
サービス拒否

重要

Windows 7 for 32-bit Systems Service Pack 1
(3036493)

重要
サービス拒否

重要

Windows 8 および Windows 8.1

Windows 8 for 32-bit Systems
(3035017)

重要
サービス拒否

重要

Windows 8 for x64-based Systems
(3035017)

重要
サービス拒否

重要

Windows 8.1 for 32-bit Systems
(3035017)

重要
サービス拒否

重要

Windows 8.1 for x64-based Systems
(3035017)

重要
サービス拒否

重要

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012
(3035017)

重要
サービス拒否

重要

Windows Server 2012 R2
(3035017)

重要
サービス拒否

重要

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)
(3035017)

重要
サービス拒否

重要

Windows Server 2012 (Server Core インストール)
(3035017)

重要
サービス拒否

重要

Windows Server 2012 R2 (Server Core インストール)
(3035017)

重要
サービス拒否

重要

脆弱性の情報

リモート デスクトップ プロトコル (RDP) のサービス拒否の脆弱性 - CVE-2015-0079

リモート デスクトップ プロトコル (RDP) には、メモリ内のオブジェクトを適切に解放できない複数の RDP セッションを攻撃者が作成した場合にサービス拒否が生じる脆弱性が存在します。サービス拒否により、攻撃者がコードを実行したり、ユーザー権限を昇格したりすることはありません。ただし、正規のユーザーがリモート デスクトップを使用してログオンできなくなる可能性があります。認証されていない攻撃者がこの脆弱性を悪用して複数の RDP セッションを作成することでシステム メモリを枯渇させることができます。攻撃者がこの脆弱性を悪用した場合、ターゲット システムが応答しなくなる可能性があります。この更新プログラムは、RDP がメモリ内のオブジェクトを管理する方法を修正することにより、この脆弱性を解決します。

マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。マイクロソフトは、このセキュリティ情報が公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

お客様の状況で、次の回避策が役立つ場合があります。

RDP を無効にする

  • グループ ポリシーを使用して RDP を無効にする方法
  • グループ ポリシーを開きます。
  • [コンピューターの構成] で、[管理用テンプレート]、[Windows コンポーネント]、[ターミナル サービス] の順にクリックし、[ユーザーがターミナル サービスを使ってリモート接続することを許可する] 設定をダブルクリックします。
  • 次のいずれかの手順を実行します。

    • リモート デスクトップを有効にするには、[有効] をクリックします。
    • リモート デスクトップを無効にするには、[無効] をクリックします。

      ユーザーが対象のコンピューターに接続している間にリモート デスクトップを無効にした場合、そのときに確立されていた接続は維持されますが、それ以降の着信接続は受け付けられなくなります。

    重要: コンピューターでリモート デスクトップを有効にすると、他のユーザーやグループがそのコンピューターにリモートでログオンできるようになります。ただし、リモートでログオンできるユーザーとグループを決めて、そのユーザーとグループを手動で Remote Desktop Users グループに追加しておく必要があります。詳細については、「ユーザーがリモートでサーバーに接続できるように設定する」および「Remote Desktop Users グループにユーザーを追加する」を参照してください。

    グループ ポリシーの設定に対して何らかの変更を行った場合は、ユーザーまたはコンピューターに適用する前に入念にテストしてください。ポリシー設定のテストの詳細については、[ポリシーの結果セット] を参照してください。

    :

    • この手順を実行するには、ローカル コンピューターで Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。コンピューターがドメインに参加している場合、Domain Admins グループのメンバーがこの手順を実行できる場合があります。セキュリティ上の最適な対応方法として、[別のユーザーとして実行] を使用してこれらの手順を実行することを検討してください。
    • 上記の手順で、ローカルのグループ ポリシー オブジェクトを構成します。ドメインまたは組織単位のポリシーを変更するには、プライマリ ドメイン コントローラーに管理者としてログオンする必要があります。次に、Active Directory ユーザーとコンピューター スナップインを使用してグループ ポリシーを起動する必要があります。
    • [ユーザーがターミナル サービスを使ってリモート接続することを許可する] のグループ ポリシー設定が [未構成] に設定されている場合は、接続先コンピューターの ([システムのプロパティ] ダイアログ ボックスの [リモート] タブにある) [このコンピューターでリモート デスクトップを有効にする] の設定が優先されます。それ以外の場合は、[ユーザーがターミナル サービスを使ってリモート接続することを許可する] のグループ ポリシー設定が優先されます。
    • リモート ログオンのセキュリティへの影響に注意してください。リモートでログオンするユーザーは、コンソールの前にいるときと同様に作業を実行できます。このような理由により、サーバーは必ずファイアウォールの内側に置いてください。詳細については、「VPN サーバーとファイアウォールの構成」および「IPSec のセキュリティ情報」を参照してください。
    • リモートで接続するすべてのユーザーに、強力なパスワードを使用するよう要求してください。詳細については、「強力なパスワード」を参照してください。
    • Windows Server 2003 オペレーティング システムでは、既定でリモート デスクトップが無効になっています。
  • [システムのプロパティ] を使用して RDP を無効にする方法
  • コントロール パネルの [システム] を開きます。
  • [リモート] タブで、[このコンピューターでリモート デスクトップを有効にする] チェック ボックスをオンまたはオフにし、[OK] をクリックします。

    重要: コンピューターでリモート デスクトップを有効にすると、他のユーザーやグループがそのコンピューターにリモートでログオンできるようになります。ただし、リモートでログオンできるユーザーとグループを決めて、そのユーザーとグループを手動で Remote Desktop Users グループに追加しておく必要があります。詳細については、「ユーザーがリモートでサーバーに接続できるように設定する」および「Remote Desktop Users グループにユーザーを追加する」を参照してください。

    :

    • リモート デスクトップを有効または無効にするには、Administrators グループのメンバーとしてログオンしている必要があります。
    • コントロール パネルのアイテムを開くには、[スタート] ボタン、[コントロール パネル] の順にクリックし、目的のアイコンをダブルクリックします。
    • この手順で説明したように、グループ ポリシーで設定した構成は、[システムのプロパティ] で設定した構成よりも優先されます。
    • リモート ログオンのセキュリティへの影響に注意してください。リモートでログオンするユーザーは、コンソールの前にいるときと同様に作業を実行できます。このような理由により、サーバーは必ずファイアウォールの内側に置いてください。詳細については、「VPN サーバーとファイアウォールの構成」および「IPSec のセキュリティ情報」を参照してください。
    • リモートで接続するすべてのユーザーに、強力なパスワードを使用するよう要求してください。詳細については、「強力なパスワード」を参照してください。
    • Windows Server 2003 オペレーティング システムでは、既定でリモート デスクトップが無効になっています。

よく寄せられる質問

リモート デスクトップは既定で有効にされていますか?
いいえ、管理のための RDP は既定では有効にされていません。ただし、RDP を有効にしていないユーザーにも、システムを保護するこの更新プログラムが提供されます。構成方法の詳細については、TechNet の記事「Windows Server 2003 で管理用リモート デスクトップを有効にする方法と構成する方法」を参照してください。この資料の内容は Microsoft Windows の以降のリリースにも適用されます。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開については、「概要」のここで言及されているサポート技術情報を参照してください。

謝辞

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

免責

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/3/11): このセキュリティ情報ページを公開しました。

Page generated 2015-03-08 9:11Z-07:00.