脆弱性・事例

古いDirectX脆弱性(CVE-2009-1537)が依然KEV掲載:レガシー環境のリスクを再点検する

admin · · 最終更新 2026年6月5日 · 5 min read

CVE-2009-1537 — Legacy DirectX flaw still on KEV — reassess your risk. Illustrations by Storyset
Illustration: Storyset (line, brand-recolored)

2009年に公開されたMicrosoft DirectX(CVE-2009-1537)の脆弱性が、2024年現在もCISA KEVに掲載され続けている。これは「古い脆弱性だから安全」という思い込みが通用しない現実を、15年越しに突きつけている。

背景

CVE-2009-1537は、Microsoft DirectXのDirectShowコンポーネントに含まれるquartz.dll内のQuickTime Movie Parser Filterに存在するNULLバイト上書き脆弱性として、2009年5月に公開された。攻撃者が細工したQuickTimeメディアファイル(.movファイル等)をユーザーに開かせることで、リモートから任意コードを実行できる。当時の影響対象はWindows XP / Vista / Server 2003 / Server 2008であり、Microsoftはセキュリティ更新プログラム(MS09-028)を同年7月に提供した。にもかかわらず、CISAはこの脆弱性を「既知の悪用脆弱性(KEV)」として現在も掲載し続けており、パッチ未適用の端末が実際の攻撃で標的にされ続けていることを示唆している。

リスクの全体像

脅威モデルとして想定すべき攻撃シナリオは明確だ。攻撃者は細工した.movファイルをメール添付・共有フォルダ経由・USB媒体などで工場内や倉庫の長期稼働Windows XP/Server 2003端末に持ち込み、ユーザーがファイルを開いた瞬間にリモートコード実行を成立させる。インターネット非接続の産業系・組み込み系Windows端末は「外から見えないから安全」と運用されがちだが、内部ネットワークへの侵入後の横移動先として格好の標的となる。特にDirectShowはメディア処理系アプリケーションが暗黙に呼び出すため、ユーザーが意識しないまま脆弱なコードパスに誘導される点が危険度を高める。CISA KEV掲載は「概念的リスク」ではなく「現在進行中の悪用」を意味する指標として受け止める必要がある。

チェックリスト

  • 資産台帳上でWindows XP・Server 2003・Vista・Server 2008が稼働している端末を棚卸しし、MS09-028(KB971633)の適用状況をSCCMまたは手動確認で検証しているか。
  • quartz.dllのバージョンが脆弱なビルド(6.5.2600.5848以前等)のままになっている端末が存在しないか、脆弱性スキャナー(Tenable Nessus・Qualys等)のプラグインで検出しているか。
  • 工場・倉庫・医療機器等の組み込みWindows端末について、ネットワーク分離(VLAN・ファイアウォールルール)が実施されており、内部横移動の踏み台にされにくい構成になっているか。
  • メール・USB・共有フォルダ経由での.movファイル等QuickTimeメディアファイルの持ち込みを制限するポリシー(グループポリシーまたはエンドポイント制御)が当該端末に適用されているか。
  • 保守切れOSを稼働させ続ける業務上の必要性とリスクを文書化し、代替手段(仮想パッチ・ネットワーク制御・マイクレーション計画)の承認が経営層レベルで取得されているか。

打ち手

優先度①:資産管理ツールまたはスクリプトでquartz.dllバージョンを全端末でスキャンし、未パッチ端末を特定する。優先度②:MS09-028を適用できない保守切れOS端末は、ネットワークセグメント分離と.movファイル等の実行制御(AppLockerポリシーまたはホワイトリスト)で補完的に保護する。優先度③:パッチ適用・移行・廃棄のいずれかを選択する意思決定フローを確立し、「放置」を選択肢から除外するプロセスを整備する。

古い脆弱性に賞味期限はない。

Omamori AI の結論

  1. 事実: CVE-2009-1537(MS09-028)はquartz.dll内のQuickTime Movie Parser FilterのNULLバイト上書き脆弱性であり、Windows XP・Server 2003等の保守切れOSが対象。CISAのKEVカタログに現在も掲載されており、実際の悪用が継続していることを示す。
  2. 判断軸: CISA KEV掲載は単なる履歴情報ではなく「現在も悪用されているという証跡」として解釈すべきであり、パッチ適用率100%を達成できていない組織では当該脆弱性を攻撃起点として想定した脅威モデルを維持する必要がある。
  3. 打ち手: 直近の対応として、quartz.dllバージョンの全台スキャンを実施し未パッチ端末を可視化する。並行して保守切れOS端末のネットワーク分離状態を確認し、未整備の場合はVLAN分離またはファイアウォールルールの追加を優先する。中期的にはレガシー端末の移行・廃棄ロードマップを策定し、放置状態を組織的意思決定として残さない体制を整える。

経営者視点で考えるべきこと

保守切れOSを業務上の理由で継続稼働させることは、組織として認識したリスクを受容する経営判断であり、善管注意義務の観点から「知らなかった」は通用しない。CVE-2009-1537のようにCISA KEVに掲載された脆弱性を放置して侵害が発生した場合、顧客データの流出・工場ラインの停止・インシデント対応費用が同時に発生し、取引先や規制当局への説明責任が生じる。投資対効果の観点では、ネットワーク分離・脆弱性スキャンの定期実施・レガシー移行計画の策定は、侵害発生時の損害・復旧コスト・ブランド毀損に比して低コストである。事業継続計画(BCP)にレガシー端末の侵害シナリオを組み込み、移行予算の確保を次期計画サイクルで意思決定することが、取締役会として問われる判断軸となる。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細