Microsoftは、2025年4月のPatch Tuesdayアップデート適用後にWindows 10および11環境に生成される「inetpub」フォルダについて、ユーザーが削除しないよう明確に警告を発した。このフォルダはWebサーバー未使用環境でもCVE-2025-21204脆弱性の修正に関連し、読み取り専用かつSYSTEM権限下で作成される保護層である。

空のフォルダに見えることから不要と誤解されがちであるが、これはWindows Process Activation Serviceに存在した権限昇格の脆弱性を封じるために不可欠な要素であり、削除するとシステム保護が損なわれる恐れがある。Microsoftはフォルダを消去した場合の復旧手順も提示し、引き続き堅牢なセキュリティ体制の維持を求めている。

脆弱性CVE-2025-21204に対応するinetpubフォルダの技術的意義

Microsoftが2025年4月に提供した「Patch Tuesday」アップデートにより、Windows 10および11のシステムに新たに作成される「inetpub」フォルダは、単なる空のディレクトリではない。

このフォルダはWindows Process Activation Serviceに存在していた重大な権限昇格の脆弱性、CVE-2025-21204に対する保護機構の一部であり、対象システム上でInternet Information Services(IIS)を使用していない環境でも、OSレベルで自動的に作成される仕組みである。

この脆弱性が悪用された場合、攻撃者がSYSTEM権限を取得し、任意のコード実行やファイルアクセスが可能となる。

inetpubフォルダはこの脆弱性に対するパッチの一環として、読み取り専用属性およびSYSTEM所有権という厳格なアクセス制御のもとに生成され、ファイルシステムの防御レイヤーとして機能している。Microsoftはこのフォルダを削除しないよう強く警告しており、IT管理者による介入も不要と明記している。

その背景には、意図的に不要と見なされ削除された場合、保護構造の一部が欠落する危険性がある点がある。これはセキュリティパッチの整合性維持という観点でも重要であり、inetpubフォルダはもはやIISのための遺物ではなく、全ユーザーのOS防御に貢献する構成要素として位置づけられている。

不可視な防御構造としてのinetpubの役割と削除リスク

一見すると空で意味のないように映る「inetpub」フォルダであるが、実際にはWindowsセキュリティの不可視な構造体の一部として機能している。

Microsoftの説明によれば、このフォルダはInternet Information Servicesの有無に関係なく、すべてのデバイスで標準的に作成され、ユーザーや管理者が内容を操作する必要もない。また、フォルダの存在はセキュリティレベルでの設定に依存しており、直接の挙動や機能に可視的な影響を与えないため、不要と誤認されやすい。

しかし、削除行為は本来存在すべきシステム権限付きディレクトリ構造の欠落を招き、今後のアップデートや脆弱性対策に支障を及ぼす可能性がある。

そのため、Microsoftは削除済みのユーザーに向けてIISの一時的有効化による再作成手順を案内しており、パッチが意図した保護レベルを取り戻すための手段を提示している。この対応は、セキュリティフォルダの管理を自動化・非干渉型とするMicrosoftの設計思想とも一致している。

ファイル構成上の可視性と保護構造との乖離がもたらす誤解は、IT管理の現場においてしばしば問題となるが、今回の事例はその典型例である。inetpubの扱いは、セキュリティパッチの効果をユーザー行動が損なう可能性に警鐘を鳴らす象徴的な事案であると言える。

Source:Cyber Security News