Microsoftは、2025年12月のセキュリティ更新プログラムがメッセージ キューイング(MSMQ)の機能を破壊しており、企業向けアプリケーションや Internet Information Services(IIS)Webサイトに影響していることを確認しました。
この既知の問題は、今月のPatch Tuesdayで公開された KB5071546、KB5071544、および KB5071543 のセキュリティ更新プログラムをインストールした Windows 10 22H2、Windows Server 2019、Windows Server 2016 のシステムに影響します。
影響を受けたシステムでは、MSMQキューが非アクティブになる、IISサイトが「リソース不足」エラーで失敗する、アプリケーションがキューに書き込めないなど、幅広い症状が発生しています。また、一部のシステムでは、十分なリソースがあるにもかかわらず「ディスク領域またはメモリが不足しています」といった誤解を招く表示が出ています。
Microsoftによると、この問題はMSMQサービスに導入されたセキュリティ モデルの変更に起因しており、重要なシステム フォルダーのアクセス許可が変更された結果、通常は管理者に制限されているディレクトリへの書き込みアクセスがMSMQユーザーに必要になっています。
これは、完全な管理者権限を付与するアカウントでユーザーがログインしているデバイスでは、この既知の問題の影響を受けないことを意味します。
「この問題は、MSMQのセキュリティ モデルに最近導入された変更と、C:\Windows\System32\MSMQ\storage フォルダーのNTFSアクセス許可の変更によって発生しています。MSMQユーザーは、通常は管理者に制限されているこのフォルダーへの書き込みアクセスが必要になりました」と、Microsoftは説明しています。
「その結果、MSMQ APIを介してメッセージを送信しようとすると、リソース エラーで失敗する可能性があります。この問題は、負荷がかかったクラスター化されたMSMQ環境にも影響します。」
MSMQ サービスは、すべてのWindowsオペレーティング システムでオプション コンポーネントとして利用できます。アプリケーションにネットワーク通信機能を提供し、企業環境で一般的に使用されています。
Microsoftはこの問題を調査中ですが、修正の時期は示しておらず、次回の定期リリースまで待つのか、緊急更新プログラムを発行するのかも確認していません。現時点では、この問題に直面している管理者は更新プログラムのロールバックを検討する必要があるかもしれませんが、それにはそれ自体のセキュリティ上の懸念が伴います。
2023年4月、Microsoftは、MSMQサービスの重大な脆弱性(CVE-2023-21554)について、数百のシステムがリモート コード実行攻撃にさらされる可能性があるとして、IT管理者にパッチ適用を警告していました。
