inetpubフォルダーの出現 | 特選街情報 NX-Station Blog

特選街情報 NX-Station Blog

特選街情報 NX-Station Blogは30年以上の製品選定の経験に基いてパソコン、デジモノ、家電の購入の経験、そのほか日々の記録のブログです。製品についての所感、評価、クーポン&特価情報やスペックの比較をしています。

テーマ:

4月の月例WindowsUpdateの更新でWindowsのシステムドライブ(既定ならCドライブ)上に「inetpub」フォルダーが作成されることがあるということで話題になっています。これは本来はWindowsのWebサーバー機能である「Internet Information Services」(IIS)でWeb公開するコンテンツを配置するフォルダーです。

 

 

inetpubフォルダーの出現

 

 

Windows 10 / Windows 11の環境で4月8日(火) [米国時間]に公開された更新プログラムを適用すると生成されます。IISを利用していない場合には新規にフォルダーが作成されます。通常IISを利用している場合には「読み取り専用」ではないのでマイクロソフトがセキュリティ対応のために作成しているのでしょう。

 

詳細は非公表ですがWindowsセキュリティ脆弱性「CVE-2025-21204」への対応であるとみられています。シンボリックリンクの不適切な処理に起因し、攻撃者によって特定のファイルやフォルダーへの不正アクセスや改ざんに悪用される可能性があるとされています。

 

inetpubフォルダーが出現したからといってIT管理者およびエンドユーザー側で操作の必要はないとのことです。フォルダーを削除するとセキュリティ強化が適用されないことになるのでそのままにしておくのが正解です。

 

クライアントPC向けのIT管理製品では「inetpub」を見つけるとWebサーバーがあって意図せずに情報公開してしまう恐れがあるとして警告を発するものもあります。今回のWindows更新で「inetpub」フォルダの有無だけでは判定できなくなりました。

 

今回の件と直接関係があるのか定かではありませんが少し前からWebサーバーに対して奇妙な攻撃を観測しています。具体的にはHTTP HEADメソッドを使ってWebサーバーへファイルの存在を確認するリクエストがログ記録されていました。対象となったファイルは複数ありました。

 

ファイル名の例:

Web.zip
Site.zip
Public_html.zip
backup.zip
data.zip
temp.zip
main.zip
content.zip
arc.zip
new.zip
 

 

ネーミングから考えていくつかの攻撃グループ(攻撃ツール)が稼動していて、Webコンテンツのバックアップを装ったファイル名にしてPC内の情報を盗もうとしているようです。ゆえに私はHTTPアクセスが可能なネットワークに接続しているPCから情報が抜かれるリスクが高まっている感じています。

 

詳細な情報が公開されていない事情から推測するに今回の更新プログラムは暫定的なものである、他に攻撃の組み合わせで脆弱性が悪用されている、不正なリモートコマンド実行、権限昇格を塞ぎ切れていないというまずい状態が継続中なのではないかと疑っています。

 

ITセキュリティの基本である適切な更新プログラムの適用とログ監視、ファイル監視を怠ってはいけないと改めて認識させられています。

 

 

■関連情報

米国 国家脆弱性データベース CVE-2025-21204の 詳細[NIST]
https://nvd.nist.gov/vuln/detail/CVE-2025-21204

Windows Update Stack でファイル アクセス前のリンク解決が不適切であると (「リンクのフォロー」)、権限のある攻撃者がローカルで権限を昇格できる可能性があります。

CWE-59    ファイルアクセス前の不適切なリンク解決(「リンクフォロー」)マイクロソフト株式会社

 

Windows プロセス アクティブ化の特権昇格の脆弱性 [Microsoft]
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21204

 

よく寄せられる質問 FAQ
Q: Windows 10 for x64 ベース システムおよび Windows 10 for 32 ビット システムの更新プログラムは現在利用可能ですか?

A: はい。2025年4月9日現在、Windows 10 for x64-based SystemsおよびWindows 10 for 32-bit Systems向けのセキュリティ更新プログラム(5055547)が利用可能です。Windows 10をご利用のお客様は、この脆弱性から保護するために、この更新プログラムがインストールされていることを確認してください。

Q : Are the updates for Windows 10 for x64-based Systems and Windows 10 for 32-bit Systems currently available?

A: Yes. As of April 9, 2025, the security update (5055547) for Windows 10 for x64-based Systems and Windows 10 for 32-bit Systems are available. Customers running Windows 10 should ensure the update is installed to be protected from this vulnerability.


Q: 攻撃者はこの脆弱性をどのように悪用する可能性がありますか?

A: 認証済みの攻撃者がこの脆弱性の悪用に成功すると、NT AUTHORITY\SYSTEM アカウントのコンテキストで標的ユーザーのマシン上でファイル管理操作の実行や操作が可能となります。


Q: How could an attacker exploit this vulnerability?

A: An authenticated attacker who successfully exploits this vulnerability gains the ability to perform and/or manipulate file management operations on the victim machine in the context of the NT AUTHORITY\SYSTEM account.


Q: この CVE に対処する Windows セキュリティ更新プログラムをインストールすると、デバイスに目に見える変化が生じますか?

A: お使いのオペレーティングシステムのセキュリティ更新プログラム一覧に記載されている更新プログラムをインストールすると、デバイス上に新しい%systemdrive%\inetpubフォルダが作成されます。このフォルダは、対象デバイスでインターネット インフォメーション サービス (IIS) がアクティブかどうかに関わらず、削除しないでください。この動作は保護強化のための変更の一部であり、IT管理者やエンドユーザーによる操作は必要ありません。

Q: Does installing the Windows security updates that address this CVE cause visible change on devices?

A: After installing the updates listed in the Security Updates table for your operating system, a new %systemdrive%\inetpub folder will be created on your device. This folder should not be deleted regardless of whether Internet Information Services (IIS) is active on the target device. This behavior is part of changes that increase protection and does not require any action from IT admins and end users.