Windows ServerやActive Directory環境で運用している管理者にとって、アップデートの最新情報は常に重要です。特に2024年3月末に報告されたLSASSのメモリリーク問題は、ドメインコントローラーの安定性に大きな影響を及ぼし、多くの組織で対応が急務となっています。
LSASSメモリリーク問題とその背景
LSASS(Local Security Authority Subsystem Service)はWindowsのセキュリティ関連の中心的なサービスであり、ユーザー認証やトークンの管理、パスワード変更などを司る重要な役割を担っています。ドメインコントローラーでは特に重要度が高く、万が一このサービスに問題が生じると、ユーザーログオンの失敗や認証関連の不具合が起きる可能性があります。
今回報告されているLSASSメモリリーク問題は、特定の状況下でメモリが解放されずに増え続け、サーバーのリソースを圧迫してしまう事象です。長期間連続稼働しているドメインコントローラーや認証サービスを集中的に処理している環境で顕在化しやすく、システムリソース不足によるサービス停止や、最悪の場合にはOSのクラッシュに至る可能性があります。
メモリリークの代表的な症状
メモリリークが発生した際、以下のような症状やログが見られることが報告されています。
- タスク マネージャーでLSASS.exeのメモリ使用量が常に増加
再起動やサービス再起動をしない限りリソースが解放されず、利用可能メモリが少なくなっていく。 - イベントログの警告やエラーの頻発
システムログまたはセキュリティログで、メモリ不足やリソース不足に関するログが表示される。 - 認証処理の遅延や失敗
ドメインユーザーのログオンが遅くなる、もしくはログオンに失敗しやすくなる。 - 最悪の場合、ブルースクリーンや再起動が発生
システムリソースが枯渇し、OSが安定動作を維持できなくなる。
これらはあくまで一般的な症状の例ですが、組織の運用環境で実際に確認している場合は、早急な対応が求められます。
2024年3月25日の緊急アップデートが正式な修正
LSASSのメモリリーク問題に対しては、Microsoftが2024年3月25日に緊急アップデートをリリースしています。下記の表は、該当する主なWindows Serverバージョンとそれに対応するKB番号をまとめたものです。
| Windows Server バージョン | KB番号(2024年3月25日付) |
|---|---|
| Windows Server 2022 | KB5037422 |
| Windows Server 2019 | KB5037425 |
| Windows Server 2016 | KB5037423 |
| Windows Server 2012 R2 | KB5037426 |
この緊急アップデートはLSASSのメモリリーク問題を解決する修正が含まれている、いわば「正式な対策パッチ」です。ドメインコントローラーで同問題が顕在化している場合、3月25日付の更新プログラムを適用することで改善が見込めます。
3月25日アップデートの適用上のポイント
- 再起動の必要性を考慮する
LSASSなどOSのコアコンポーネントを修正するため、更新プログラムの適用後はサーバーの再起動が必要となるケースが多いです。適用前に必ずメンテナンスウィンドウを確保しておきましょう。 - 既存の変更履歴との競合に注意
すでに他のアップデートを適用している環境で、KB5037422などの累積アップデートをインストールしようとした場合、インストールに失敗することがあります。エラーが発生した場合は公式ドキュメントやサポート情報を参照してください。 - テスト環境での事前確認
可能であればドメインコントローラーを含むテスト用の環境で検証してから本番環境に適用することが望ましいです。認証処理やログオン関連の動作テストを行い、問題なく稼働することを確認しましょう。
2024年4月9日リリースのアップデートに修正が含まれない可能性
通常、Windowsの月例アップデートは毎月第2火曜日(通称「パッチチューズデー」)にリリースされます。2024年4月9日はその月例アップデートのリリース日でしたが、LSASSメモリリークの修正パッチが含まれていない可能性が指摘されています。
具体的な例として、KB5036894などの4月アップデートをインストールしても、LSASSのメモリリークに対しては修正が行われない事例が報告されているようです。そのため、LSASSの不具合に対する根本的な解決策を求める場合は、依然として3月25日付の緊急アップデートが必須となります。
4月のアップデートに関する注意点
- 4月アップデートでセキュリティや機能拡張は実施される
LSASSの修正が含まれていないだけで、その他の脆弱性修正や機能強化が行われています。4月の更新は全く不要というわけではないため、総合的なセキュリティ対策としては重要なアップデートです。 - ロールアップ形式による競合に注意
Windows Serverの更新プログラムは累積的にロールアップされるため、3月25日の緊急アップデート未適用のまま4月アップデートを当てると、のちに緊急アップデートを当てづらくなるケースがあります。 - ドメインコントローラーの運用上リスクを避ける
ドメインコントローラーは障害が発生すると組織全体の認証基盤が影響を受けます。LSASSが安定稼働しない状態を放置しておくと重大インシデントにつながる恐れがあるため、慎重なアップデート計画が求められます。
4月のパッチを既にインストールしている場合の対応
最も複雑なケースとして、4月の累積アップデートをすでにインストールしてしまっており、後から3月25日の緊急アップデート(KB5037422など)を当てようとしてもインストールができない場合があります。これは、累積アップデート同士の依存関係やバージョンの整合性の問題で起こる可能性があるためです。
Microsoftからの案内と今後の展開
Microsoftは次回の月例アップデート、もしくは5月第2週(パッチチューズデー)のタイミングで、LSASSのメモリリーク対策を含むアップデートのリリースを予定しているとされています。したがって、現在のところは以下の二つの選択肢が考えられます。
- 3月25日アップデートを当てられる環境
4月アップデートを未適用、またはアンインストールできる環境であれば、先に3月25日リリースの緊急アップデートを適用することを優先する。 - 4月アップデートをすでに適用済みでロールバックが難しい環境
5月にリリースされる予定のパッチを待つか、Microsoftサポートに問い合わせて暫定的な対処策(レジストリ変更やサービス再起動の自動化など)を検討する。
暫定的な運用回避策
LSASSのメモリリークがどうしても発生し、かつ3月25日のアップデートを適用できない場合、以下のような一時的対処を実施している管理者もいます。
- 定期的な再起動のスケジューリング
メモリリークが顕著なサーバーの場合、週に1度などのタイミングで再起動することでメモリを解放する。 - 障害発生を見越したフェールオーバー構成
複数のドメインコントローラーを用意し、片方がトラブル発生してももう片方で認証サービスを継続できる冗長構成をとる。 - 監視ツールによるメモリ使用量の常時監視
しきい値を設け、LSASSのメモリ使用量が一定以上になった場合にアラートを出す仕組みを作り、早期に対処する。
ただし、これらはあくまで緊急回避措置であり、根本的な修正ではありません。あらゆるリスクを低減するためにも、正式なパッチが適用されるまでの間の一時的な方法として利用することをおすすめします。
今後のパッチ適用方針と注意点
ドメインコントローラーを含むWindows Serverの更新管理は、常に最新パッチをいち早く適用すればよいという単純なものではありません。特に今回は、3月25日の緊急アップデートがLSASS問題に対する正式対策であるにもかかわらず、4月アップデートでその修正が含まれていないというイレギュラーな状況が生じています。以下の方針を参考に、更新計画を見直すことをおすすめします。
方針1: 4月更新未適用の場合
- 3月25日の緊急アップデート(KB5037422など)を先に適用
LSASSのメモリリークを早期に修正するために、まず緊急アップデートを適用する。 - 十分な動作検証を行った上で4月分を適用
その後に4月の月例アップデートを適用しても問題ないか、テスト環境や小規模サーバーで検証。 - 問題が起きた場合のロールバック計画を準備
障害発生時の迅速なロールバック手順と検証を行えるようにしておく。
方針2: 4月更新を既に適用している場合
- 3月25日の緊急アップデートがインストールできるか確認
もしエラーが出ずに適用可能であれば、問題なくLSASSのメモリリークを修正できる。 - インストールできない場合はMicrosoftサポートへ相談
アップデートの整合性が取れず、インストールに失敗する事例も報告されているため、公式サポートから暫定的な修正プログラムや手順を案内してもらう。 - 5月の月例アップデート(パッチチューズデー)を待つ
Microsoftが次回の月例アップデートで修正を含むパッチをリリースする可能性が高いため、それまでの間は暫定対策を実施し、トラブルを最小化する。
ベストプラクティス: アップデート管理の強化策
組織内で複数のWindows Serverを運用している場合、アップデート管理が複雑になりがちです。今回のように、特定のセキュリティ問題に対する修正が通常リリースのタイミングとずれて配信される「オフサイクル」アップデートが出ることもあります。以下のベストプラクティスを取り入れると、トラブル発生率を下げられます。
- WSUSやSCCMなどのアップデート管理ツールの活用
Windows Server Update Services(WSUS)やMicrosoft Endpoint Configuration Manager(SCCM)などを活用し、段階的にパッチを適用するフローを作る。まずテスト環境→検証用の小規模サーバー→本番サーバーという順序で適用することで、問題発生リスクを低減。 - 緊急アップデート情報の早期キャッチ
Microsoftの公式セキュリティアドバイザリやTech Community、SNSなども含めて広範囲に情報を収集し、緊急パッチが出た際には早めに認知できる体制を整える。 - ドキュメント管理とリリースノートのチェック
どのKBがどの不具合を修正するのか、管理リストを作成しておく。リリースノートには必ず目を通し、依存関係や既知の不具合を把握しておく。 - 既存のシステム監視とログ管理を充実化
メモリ使用量やCPU負荷、ディスクI/O、Windowsイベントログの監視レベルを高め、問題の兆候を把握できるようにする。LSASSが異常な動きを示したら即座にアラートを受け取れる仕組みを持つことが望ましい。
トラブルシューティング: メモリリークへの対処手順
もしLSASSのメモリリークが既に起きてしまっている場合、管理者はどのように対処すればいいのでしょうか。下記は一般的なトラブルシューティング手順の例です。
- **イベントビューアーでログを確認** 「システム」や「セキュリティ」にエラーや警告が出ていないか、LSASS関連のイベントがないかを調査。
- **タスク マネージャーまたはリソースモニターでメモリ状況を監視** LSASS.exeのメモリ使用量が継続的に増えている場合、メモリリークの可能性が高い。
- **アップデート状況の確認** 3月25日の緊急アップデート(KB5037422など)が適用されていない場合は、適用を最優先で検討。
- **再起動またはサービス再起動** 一時的に問題を緩和するため、緊急的に再起動を実施。ただし本質的な解決にはパッチ適用が必要。
- **パッチ適用が不可能な場合の暫定措置** 5月の修正パッチリリースまで定期的な再起動や冗長構成などで影響を最小化する。
- **Microsoftサポートへの連絡** 重大なインシデントと判断される場合、公式サポートに問い合わせる。特別な修正パッチ(ホットフィックス)が提供される可能性もある。
PowerShellによるメモリ使用率の監視例
サーバー運用では、自動化スクリプトを利用してリソース状況を定期的に監視することが有効です。以下は簡単なPowerShellのサンプル例です。
# 定期的にLSASSプロセスのメモリ使用量を取得してアラートを出す例
$processName = "lsass"
$threshold = 1024 * 1024 * 500 # 500MBを閾値とする
$processList = Get-Process -Name $processName -ErrorAction SilentlyContinue
if ($processList) {
foreach ($p in $processList) {
if ($p.WorkingSet64 -gt $threshold) {
Write-Host "警告: $($p.ProcessName) が $($p.WorkingSet64 / 1MB) MBを超えるメモリを使用しています。"
# ここでメール送信やイベントログ記録などの処理を追加
}
}
} else {
Write-Host "lsass プロセスが見つかりませんでした。"
}上記のスクリプトをタスクスケジューラーなどで一定間隔で実行するように設定しておくことで、LSASSのメモリ消費が異常に増えた際にリアルタイムで検知できます。しきい値は環境に合わせて適宜調整しましょう。
まとめと今後の展望
今回のLSASSメモリリーク問題は、ドメインコントローラーの安定稼働に深刻な影響を与える可能性があります。Microsoftは2024年3月25日に緊急アップデートをリリースしているものの、4月9日の月例アップデートではこれが含まれていない事例が多く報告されています。以下の点を改めて整理します。
- 3月25日の緊急アップデートが正式な修正パッチ
Windows Server 2022のKB5037422をはじめとする緊急アップデートがLSASSメモリリーク対策の中核となる。 - 4月の月例アップデート(KB5036894など)に修正が含まれない可能性
既に4月アップデートを適用してしまった場合、緊急パッチをインストールできない・しづらいケースがある。 - 5月の月例アップデート以降の修正リリースが待たれる
Microsoftが5月のパッチチューズデーにLSASS修正を含むアップデートを準備しているとの情報がある。 - 暫定措置を取りながら、正式修正パッチを適用するプランを立てる
ドメインコントローラーを冗長化している場合はフェールオーバー構成を見直す、あるいは定期再起動などの対策で被害を最小限に抑える。
LSASSは認証基盤の要でもあり、トラブルが発生するとビジネス継続に大きな障害が生じる恐れがあります。そのため、情報収集を怠らず、Microsoftの公式アナウンスやサポート情報を逐次確認しながら、適切なパッチ適用計画を策定していくことが最も重要です。
コメント