「Windows」のアップデートで配信されるパッチにマルウェアが含まれていないと言い切れるだろうか。

英セキュリティ企業Contextは米国時間8月5日、ラスベガスで開催されたセキュリティカンファレンス「Black Hat」で、ハッカーがWindowsのアップデートの仕組みにある弱点を悪用して企業ネットワークに侵入するのをデモしてみせた。

攻撃はシンプルだ。企業ネットワーク上のPCは多くの場合、ネットワークにあるWindows Server Update Services（WSUS）サーバを経由してアップデートされる。しかし、このアップデートサーバの設定が安全ではないように実装されると、「ローカル権限昇格を悪用されネットワークへの攻撃」が可能になるという。

Black Hatでの説明の前に米ZDNetが確認したレポートによると、「アップデートプロセスでは、署名され確認されたアップデートパッケージがダウンロードされ、システムにインストールされる。Microsoftの署名付きの既存のバイナリを転用することで、攻撃者が悪意あるアップデートを注入して任意のコマンドを実行できることを証明することに成功した」という。

研究者らは低いアクセス権限を利用して偽のアップデートを設定し、これがネットワーク上にあるマシンに自動的にダウンロードされ設定されるようにした。

SSL（Secure Socket Layer）などのウェブ暗号化技術を利用していないWSUSサーバは、攻撃者がマルウェアを含んだアップデートを注入する中間者攻撃に脆弱だ。

研究者の1人であるPaul Stone氏は、暗号化を強制していないアップデートサーバは、「管理者が企業ネットワーク全体を一気に危険にさらしてしまうリスク」を生じさせていると警告している。

「懸念の1つが、USBデバイスを挿したところドライバの中に脆弱性があり、これが不正な目的で利用されるというパターンだ」と同氏は述べている。