Microsoftは2026年6月のセキュリティ更新プログラムにおいて、WindowsオペレーティングシステムのHTTP.sysに存在する重大なリモートコード実行(RCE)の脆弱性「CVE-2026-47291」を修正した。この脆弱性は、深刻度を示すCVSSスコアが9.8と非常に高く、認証を必要とせずにネットワーク経由で悪用される可能性があることから、システム管理者に対して速やかな更新プログラムの適用が強く推奨されている。
HTTP.sysとは何か
HTTP.sysは、Windows OSの内部で動作するHTTPおよびHTTPS通信処理を担当するシステムドライバーである。WebサーバソフトウェアのIIS(Internet Information Services)をはじめ、ネットワーク通信を利用するさまざまなWindowsサービスに対して、通信処理やルーティング、セキュリティ機能を提供している。WindowsにおけるWebおよびネットワーク通信を支える重要なシステムコンポーネントの一つであり、その安定性とセキュリティは極めて重要である。
HTTP.sysの脆弱性は何が危険か
Microsoftの発表によると、この脆弱性を悪用された場合、攻撃者は認証を経ることなく、ネットワーク経由で任意のコードを実行できる可能性がある。脆弱性の深刻度を示すCVSSスコアは10点満点中9.8で、「Critical(重大)」に分類されている。さらに、Microsoftは悪用可能性評価を「Exploitation More Likely」としており、今後攻撃に利用される可能性が高いとみられている。
攻撃者は細工したネットワークパケットを送信することで脆弱性を悪用できる可能性があり、HTTP.sysを利用するすべてのシステムが攻撃対象となり得る。HTTP.sysはWindowsのWeb・ネットワーク通信を支える重要なシステムコンポーネントであり、脆弱性が悪用された場合の影響範囲は広いと考えられる。企業や組織のサーバーだけでなく、一般ユーザーのPCも影響を受ける可能性があるため、注意が必要である。
脆弱性への対処法
Microsoftは2026年6月のセキュリティ更新プログラムでこの脆弱性を修正済みである。影響を受ける環境では、更新プログラムを速やかに適用することが推奨される。また、Microsoftは更新プログラムを適用するまでの間の緩和策も案内している。HTTP.sysで使用される「MaxRequestBytes」レジストリ値を既定値に戻す、または適切な値に設定することでリスクを軽減できるとしている。
ただし、恒久的な対策はセキュリティ更新プログラムの適用であり、管理者は早急に更新状況を確認し、必要な措置を講じることが望まれる。特に、インターネットに直接公開されているサーバーや、重要な業務システムを運用している環境では、迅速な対応が求められる。
