CVE-2022-41091 IISセキュリティ機能バイパスの脆弱性を修正する方法

IISセキュリティ機能バイパスの脆弱性とは何か？

MicrosoftのInternet Information Services（IIS）セキュリティ機能とは、IISというWebサーバーソフトウェアに組み込まれているセキュリティ機能のことを指します。IISセキュリティ機能は、Webサーバーの動作やアクセス制御を管理し、セキュリティの強化を行う役割を果たしています。特に、「IP Address and Domain Restrictions（IPアドレスとドメインの制限）」と呼ばれる機能では、特定のIPアドレスやドメインからのアクセスを制御できます。これにより、不正アクセスや攻撃からWebサーバーを保護することができます。

しかし、セキュリティ機能にも脆弱性が存在することがあります。たとえば、「IP Address and Domain Restrictions」リストにおけるワイルドカードの許可と拒否ルールを適切に処理できない場合、リモート攻撃者が制限されたネットワークリソースにアクセスすることができるセキュリティの回避が発生します。これが「IISセキュリティ機能回避脆弱性」として知られる問題です。

攻撃者はどのように脆弱性を悪用できるのか？

まず、リモート攻撃者がIISセキュリティ機能回避脆弱性の悪用を実行する方法を理解しましょう。

この脆弱性はリモートから起動され、攻撃者による成功した攻撃には被害者の介入が必要です。脆弱性を悪用するには、影響を受けるWindowsのバージョンを使用しているユーザーが悪意のあるサーバーにアクセスする必要があります。攻撃者はユーザーに悪意のあるサイトを訪れるよう強制することはできませんが、通常はメールやチャットメッセージで誘惑して自発的に訪れさせます。

したがって、影響を受けるWindowsのバージョンを使用している場合、このセキュリティの問題はコンピューターを危険な状況に追い込む可能性があります。この脆弱性を修正することは緊急の課題です。

Microsoftの11月のパッチ更新によるCVE-2022-41091の修正

では、IISセキュリティ機能回避脆弱性の最善の修正方法は何でしょうか？幸いなことに、2022年11月8日にマイクロソフトはWindows 11およびWindows 10のすべてのサポートされているバージョン、新たにリリースされたWindows 11 22H2のために、11月のパッチ更新をリリースしました。今回、合計69件のWindowsの脆弱性が修正されており、その中にはIISセキュリティ機能回避脆弱性も含まれています。

IISセキュリティ機能回避脆弱性のために2つの修正パッチがリリースされました。これらのアップデートにより、IISに存在するセキュリティ回避機能が修正されます。脆弱性の修正は、許可または拒否されるIPとドメインのリストに対して入力リクエストがどのように処理されるかに特に焦点を当てて行われます。

データ保護のために常にPCをバックアップする

上記はセキュリティバイパスの脆弱性とその解決策です。しかし、将来にわたって新たに報告される脆弱性を悪用しようとするハッカーが存在することがあります。そのため、定期的にコンピューターシステムと重要なデータをバックアップすることが最良の方法です。

ここでは無料のバックアップと復元ソフトウェアAOMEI Backupper Standardを強くお勧めします。このソフトはさまざまなニーズに対応できます。Windows 11／10／8／7／Vista／XPのすべてのWindowsシステムをサポートしています。また、以下の利点があります：

🐾多様なバックアップタイプ：システムバックアップ、ファイルバックアップ、ディスクバックアップ、パーティションバックアップなどのバックアップタイプがあります。
🐾異なるバックアップ先：ローカルディスク、外付けデバイス（USB、HDD、SSDなど）、クラウドドライブ、NASなどにバックアップを作成できます。
🐾スケジュール：毎日／毎週／毎月／イベントトリガー／USB挿入の5つのモードで自動バックアップを設定できます。
🐾3つのバックアップ方式：フルバックアップ、増分バックアップ、差分バックアップ3つのバックアップ方式が利用可能です。後の2つの機能を使用すると、変更されたファイルのみをバックアップし、時間とディスクスペースを節約できます。

以下のシンプルな手順に従い、PCのバックアップを作成します：

1. このフリーウェアをダウンロードしてコンピューターにインストールします。そしてソフトを起動し、「バックアップ」をクリックして右側のメニューから「システムバックアップ」を選択します。

2. 別のバックアップタスクと区別するには、「タスク名」でタスクの名前を変更します。このソフトウェアは自動的にソースを選択するため、第2のバーをクリックしてバックアップ先を選択するだけです。

3. 操作を確認し、問題がなければ「開始」をクリックします。

🌟バックアップタスクを開始する前に、バックアップ設定をカスタマイズできます：

♧オプション：バックアップタスクにコメントを追加したり、無料でメール通知を有効にしたりできます。AOMEI Backupper Professionalにアップグレードすると、暗号化されたバックアップを有効にすることもでき、セキュリティを向上させることができます。これにより、このような脆弱性を心配する必要がなくなります。
♧バックアップスキーム：ここでフル／増分／差分バックアップの3つのバックアップ方式を設定できます。また、古いバックアップの自動削除を設定し、ディスクスペースを解放できます。差分バックアップと自動削除はPro版で利用可能です。

🌟前の良好な状態にWindows OSを復元する方法：

一度コンピューターのバックアップがあれば、Windowsの更新に関連する問題でシステムが起動できなくなったり、アプリケーションとハードウェアの互換性の問題が生じたりする場合、または重大な場合にはデータが損失することもありますが、以前の良好な状態にコンピューターを復元できます。

AOMEI Backupper Standardを開き、左のメニューから「復元」をクリックし、「タスクを選択」または「イメージファイルを選択」をクリックし、AOMEIで作成したイメージを見つけるだけです。

まとめ

これでIISセキュリティ機能回避脆弱性の修正方法を説明しました。マイクロソフトの11月のパッチ更新はCVE-2022-41091を含む69件のWindowsの脆弱性を修正できます。このアップデートがコンピューターのリスク問題を解決し、不安を取り除いてくれることを願っています。

マイクロソフトが脆弱性の通知やアップデートをリリースすると、リモート攻撃者はこれらの脆弱性を悪用してコンピューターを攻撃することができます。これにより、修復不可能なデータの損失が生じる可能性があります。そのため、コンピューターシステムとデータを定期的にバックアップすることが必要です。

AOMEI Backupperは様々なニーズを満たし、データを継続的に保護できます。さらに、コンピューターが適切に起動しない場合には、ブータブルメディアを作成することができます。今すぐこのソフトを試してみましょうか？