2025年4月のWindowsセキュリティ更新プログラムを適用した一部のPCで、システムドライブ直下に「inetpub」という空のフォルダーが自動的に作成されていることが判明した。このフォルダーは本来、IIS(Internet Information Services)用であり、該当コンポーネントが無効であっても作成される仕様となっている。

この動作は、特権昇格の脆弱性「CVE-2025-21204」への対処に伴うものとされ、Microsoftは削除しないよう推奨しているが、ユーザーからは不満の声も出ている。ルートディレクトリに不要な構造が増えることで混乱や不快感を覚えるケースもあり、その目的が明確に説明されていない点も懸念材料といえる。

「inetpub」フォルダーの出現はCVE-2025-21204対策による副産物

2025年4月のセキュリティアップデートにより、Windows 10およびWindows 11の一部環境で「C:\inetpub」という空のフォルダーが自動的に生成される現象が発生している。この挙動は、Microsoftが対処した特権昇格の脆弱性「CVE-2025-21204」に起因するもので、同社のセキュリティ情報にも新たにこのフォルダー作成についての説明が追加された。CVE-2025-21204は、Windowsプロセスアクティベーションサービスに関わる欠陥で、攻撃者がSYSTEM権限を取得できる可能性がある深刻な問題とされていた。

このフォルダーは本来、Webサーバー機能「Internet Information Services(IIS)」でログ保存用に使用されるディレクトリであり、通常はIISが有効な環境でのみ生成されるべきものである。だが、今回のパッチではIISの有無にかかわらず「inetpub」が強制的に作られる仕様となっており、これに対しMicrosoftは削除しないよう呼びかけている。フォルダー自体にデータは入っていないものの、セキュリティ機能の一部として扱われているため、手動で削除すると意図しない影響が出る可能性もある。

削除禁止の「空フォルダー」がもたらす運用上の摩擦

Microsoftが強調するように、「inetpub」フォルダーは削除してはならない。しかし、これは従来のシステム構成を丁寧に管理してきたユーザーや、ルートディレクトリの整理を徹底する運用方針を取るIT環境にとっては受け入れがたい変更である。特に企業内のPCでは、ルート直下に不明な空フォルダーが突如現れること自体が、運用ポリシーやセキュリティ監査上のトラブルの種になりかねない。

また、今回の変更が導入された理由としてCVE-2025-21204対策が挙げられてはいるが、そのフォルダーがどのように脆弱性緩和に関与しているのかは明確にされていない。この点が、より深い不信や混乱を生んでいる一因といえる。表面的には無害な「空のフォルダー」だが、それが削除禁止であり、今後の更新でも残り続ける可能性があるとすれば、将来的にさらなる仕様変更や説明の追加が求められる場面も出てくるだろう。ユーザーとのコミュニケーション不足が招く齟齬を、Microsoftは今後どう埋めていくかが問われる。

Source:TechSpot