Windows 11の最新アップデート「24H2」において、PowerShellスクリプトの実行制御を担うAppLockerおよびWDACの強制機能が数カ月にわたり正常に動作していなかったことが判明した。Stack ExchangeやRedditなど複数の技術系フォーラムで、ConstrainedLanguageモードが無効化され、FullLanguageモードで実行されるという深刻な不具合が報告されていた。

この問題は、Microsoft MVPのRoody Ooms氏が調査した結果、PowerShell 7.3で導入された新API「WldpCanExecuteFile」の不完全実装に起因するとされており、従来の「WldpGetLockdownPolicy」が使用されていた旧バージョンとは挙動が異なる。Microsoftはこれを認識し、PowerShell 7.6-preview.4で修正対応に着手した。

企業のセキュリティポリシーにとって根幹となるアプリケーション制御が無効化されていた事実は、AppLocker活用企業にとって無視できないリスクを示唆している。

AppLockerとWDACの制御不全 PowerShell実行環境の脆弱性が露呈

Windows 11 24H2において、AppLockerおよびWDACによるスクリプト制御が長期間にわたり無効化されていた事実が、技術系フォーラムで相次いで報告された。

Stack Exchangeではユーザー「CFou」がConstrainedLanguageモードの強制が行われず、意図せずFullLanguageモードでPowerShellセッションが実行される異常を発見。その後Redditの「sysadmin」コミュニティでも同様の報告が重なり、当該バージョンのPowerShellにおいてセキュリティポリシーが適用されない現象が再現性をもって確認された。

Microsoft MVPのRoody Ooms氏は、問題の根源がPowerShell 7.3で導入された新API「WldpCanExecuteFile」にあると分析。従来の「WldpGetLockdownPolicy」では正常に動作していた制御機能が、新APIへの移行後に不完全な実装により機能しなくなったことが判明した。

これにより、セキュリティポリシーでスクリプトの実行を制限している企業環境で、実際には制限が全く効かないという状態が発生していた。

Microsoftはこの不具合を認識し、PowerShell 7.6-preview.4にてAppLockerへのフォールバック処理を追加する修正を行ったが、正式版の配信時期は未定とされる。特権昇格やマルウェア実行のリスクが高まる中、管理者層は回避策や一時的な封じ込め策の検討を迫られている。

セキュリティポリシーの信頼性失墜がもたらす統制リスク

本件は単なる技術的不具合に留まらず、ポリシーベースのセキュリティ統制を基盤とする運用モデルに深刻な影響を及ぼす。

特にAppLockerやWDACは、スクリプト実行制限を通じて不正アクセスやマルウェアの侵入を未然に防止するための中核機構であり、その機能不全は実質的に防御線の喪失を意味する。にもかかわらずMicrosoftが広範な配信を開始した背景には、リリース前の検証体制における重大な欠落があったと見られる。

また、企業は導入済みのセキュリティポリシーが想定通りに機能している前提でリスク管理を行っており、その前提が崩れる場合、検出までに大きな時間的ギャップが生じる。事実、今回の問題は一般配信前に技術系コミュニティにおいて個別に指摘されるまで文書化されておらず、ユーザー側が異常に気づくことで初めて浮き彫りとなった経緯がある。

このような制御不全は、今後のガバナンスモデルやゼロトラスト構成への影響も避けられない。IT統制においては「正しく機能していること」が前提条件であり、それが保証されない環境ではセキュリティ運用全体の再構築が必要となる可能性がある。Microsoftの対応速度と情報公開の透明性が、今後の信頼回復の鍵を握る。

Source:Neowin