Windows Server Service にバッファオーバーフロー(CVE-2008-4250/MS08-067)— 認証不要・遠隔で任意コード実行、約17年前の脆弱性が今なおKEVに
Windows の Server Service にバッファオーバーフロー(確保した領域を超えてデータが書き込まれる不具合)があり、認証なしで遠隔から任意のコードを実行されうる、深刻度の高い脆弱性です。
脆弱性の基本情報
- CVE番号CVE-2008-4250
- CVSS基本値9.8 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Microsoft Windows
- CWECWE-94
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-03(米連邦民生機関・BOD 22-01)
要点
この脆弱性は、Windows でファイルやプリンタの共有などを担う「Server Service」に存在します。報告された概要によれば、ネットワーク経由のやり取りに使う RPC(リモートプロシージャコール=別のコンピュータ上の処理を遠隔から呼び出す仕組み)に細工したリクエストが届くと、ファイルパスを整える「正規化」の段階でバッファオーバーフロー(あらかじめ確保したメモリ領域を超えてデータが書き込まれてしまう不具合)が誘発され、遠隔の攻撃者に任意のコードを実行される可能性があります。NVD 公式の評価は CVSS 9.8(CRITICAL)で、攻撃にあたって認証(ログイン)が不要、利用者の操作も不要という条件が、深刻度を最高水準に押し上げています。
本脆弱性は、Microsoft の月例セキュリティ更新の番号「MS08-067」として広く知られています。2008年から2009年にかけて世界的に大流行したワーム「Conficker(コンフィッカー)」がこの弱点を足がかりに拡散したことで、セキュリティ史に残る事例となりました。ワームとは、人手を介さず自分自身を複製してネットワーク上を広がっていく不正プログラムを指します。
注目すべきは、公表から約17年が経った2026年に、この脆弱性が CISA の「悪用が確認された脆弱性カタログ(KEV)」へ追加された点です。KEV は、実際に攻撃で使われたことが確認された脆弱性を米国の担当機関がまとめたもので、ここに載るということは現在も悪用が観測されていることを意味します。長く使われ続けるレガシー(旧式)システムや更新されないまま放置された機器が、古い脆弱性の標的であり続ける実態を象徴する一件と言えます。
なぜ重要か
認証も利用者操作も要さずに遠隔から任意コードを実行されうるため、悪用された場合の影響は大きく、Windows を用いる組織の業務継続やデータの機密性・完全性に関わります。古い脆弱性が現在も KEV に載るという事実は、レガシーシステムや未更新の機器を放置する運用そのものがリスクであることを示しています。資産の棚卸しと更新状況の把握が、こうした象徴的な脆弱性への備えの出発点になります。
よくある質問(FAQ)
なぜ約17年前の脆弱性が今になってKEVに追加されたのですか。
CVSS 9.8 はどの程度の深刻さですか。
Conficker とは何ですか。
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。