Windows 11の6月アップデートでフォルダーアイコンが「初期化」される事象　バグではなく23年来の脆弱性対策

2026年6月9日（日本時間6月10日）にリリースされたWindowsの月例更新プログラムの適用後、ネットワーク共有フォルダーのカスタムアイコンやローカライズされたフォルダー名が消え、既定の黄色いアイコンに戻る事象が報告されている。

これはバグではなく、Microsoftが23年前からWindowsシェルに存在していたバッファオーバーフローの脆弱性を塞ぐために導入した、意図的なセキュリティ仕様変更である。本変更により、Windowsが信頼できないと判断した「desktop.ini」ファイルは無視されるようになるため、共有ドライブ等でフォルダーのビジュアルカスタマイズを行っていた企業環境を中心に影響が及ぶとみられる。

今週のWindowsアップデート後に、カスタマイズしたネットワークフォルダーのアイコンが消えてしまったとしても、それはバグではない。Microsoftが2026年6月9日（日本時間6月10日）にリリースした月例セキュリティ更新プログラム（Patch Tuesday）の「KB5094126」（Windows 11 24H2および25H2向け）と、その関連パッチ「KB5093998」（Windows 11 23H2向け）では、Windowsが信頼できると検証できないソースからのカスタムフォルダーアイコンおよびローカライズされたフォルダー名の表示が意図的に無効化された。その理由は20年以上前まで遡る。

desktop.iniファイルからこれらカスタマイズ情報を読み取るWindowsシェルの機能において、少なくとも2003年からバッファオーバーフローの脆弱性（未検査のバッファ）が存在しており、今週のアップデート前までは、エクスプローラーでネットワークフォルダーを閲覧するだけでこの脆弱性がトリガーされる状態にあった。

■フォルダーを開くだけでコード実行されるリスクが23年間存続

その仕組みは単純であると同時に懸念されるものだ。「desktop.ini」は、Windows 95の時代から存在するWindowsの隠し設定ファイルである。フォルダーが開かれるたびにWindowsシェルが自動的にこのファイルを読み込み、その中の「[.ShellClassInfo]」セクションで定義されたカスタムアイコンやローカライズされたフォルダー名などの表示属性を適用する。

この自動読み込みこそが問題だった。読み込みを実行する関数に未検査のバッファが含まれていたのである。属性値が異常に大きいか、あるいは意図的に細工された「desktop.ini」ファイルを読み込ませると、シェル機能がバッファオーバーフローを起こし、隣接するメモリ領域を上書きして、ログイン中ユーザーの全権限でコードを実行できる可能性がある。

2003年7月に公開されたMicrosoft自身のセキュリティ情報「MS03-027」には、今月まで残存していたのと全く同じシナリオが記載されていた。すなわち、未検査のバッファを含む特定の関数は、Windowsシェルがフォルダーに適用するカスタム属性を処理するために「desktop.ini」ファイルを解析しようとしたときにのみ呼び出され、それはフォルダーが開かれたときに実行される。追加のクリックやダウンロードのプロンプト、開くべき文書ファイルなどは一切不要で、フォルダーに移動する（ナビゲートする）こと自体がトリガーとなっていた。

セキュリティ研究者や脅威アクター（攻撃者）は、この攻撃対象領域（アタックサーフェス）を定期的に記録してきた。ベトナムに関係があるとされる脅威グループ「OceanLotus」（「APT32」としても追跡されている）に関連した事例では、攻撃者がベンダーのサポートディレクトリ内に悪意のある「desktop.ini」ファイルを不正なDLLファイルと共に配置した。そして、ユーザーがその侵害されたフォルダーを閲覧するだけで、シェルの自動解析機能を利用してエクスプローラーに攻撃者が制御するコードを強制的にロードさせていた。この攻撃対象領域は、フォルダーへの移動以外のユーザー操作を一切必要としなかったと報告されている。

■KB5094126がWindowsシェルに加えた実際の変更

6月9日（日本時間6月10日）の更新プログラムにより、これまで存在しなかった「信頼モデル（トラストモデル）」がシェルの「desktop.ini」処理に導入された。Microsoftのサポート記事の説明によると、Windowsは、発信元（オリジン）が「信頼できる」と分類できない「desktop.ini」ファイルを無言で無視するようになったという。

この「無視する」という表現は正確で、ファイル自体が削除されるわけではなく、フォルダーへのアクセス自体も影響を受けない。Windowsは単にそのファイルが存在しないものとして処理し、定義されていたアイコンや名前をシステム既定（デフォルト）の状態に戻す。

Windowsが「信頼できない」とみなすソースのカテゴリには、企業環境と個人環境の両方で一般的な3つのシナリオが含まれる。

（1）インターネットからダウンロードされたファイル: 「Mark-of-the-Web（MotW）」ゾーン識別子（Officeのマクロを制限し、署名のない実行ファイルがプロンプトなしで実行されるのを防ぐメタデータタグと同じもの）が付与されたファイルは、「desktop.ini」の命令が適用されないようブロックされる。

（2）WebDAVまたはHTTPベースのリモート場所: これらの場所からコピーされたファイルも同様のカテゴリに分類され、ブロックの対象となる。

（3）未承認のネットワークパス: Windowsのゾーンポリシーを通じて「イントラネット」または「信頼済みサイト」として明示的に分類されていないネットワークパスは、そのパスがどれだけ長く使用されてきたかにかかわらず、デフォルトで「信頼できない」ものとして扱われる。

この変更は、月例更新プログラムの枠組みが示すよりも広範なバージョンのWindowsに影響を与える。Microsoftのサポート文書によると、影響範囲には以下が含まれることが確認されている。

・Windows 10 Enterprise LTSB 2016、LTSC 2019、LTSC 2021
・Windows 10 バージョン 22H2
・Windows 11のサポートされているすべてのエディション（バージョン22H2から最新の26H1まで）
・Windows Server 2012（拡張セキュリティ更新プログラム適用）からWindows Server 2025までの各バージョン

■影響を受ける環境と受けない環境

実質的な影響を最も強く受けるのは、ITチームが長年にわたり共有ネットワークドライブに対して「desktop.ini」ベースのカスタマイズを適用してきた、企業や組織の環境である。色分けされたプロジェクトフォルダーのアイコン、多言語環境向けのローカライズされたフォルダー名、ファイルサーバー上の独自の視覚的整理システムなどは、すべてWindows既定の黄色のフォルダーアイコンに戻ってしまう。

一方、同じマシンのローカルフォルダーにカスタムアイコンを適用している個人ユーザーは、一般に影響を受けないとされる。ローカルパスは通常「信頼できる」ものとして扱われるためだ。ただし、ダウンロードしたソフトウェアパッケージの一部としてカスタマイズされたフォルダーを受け取ったユーザー（ダウンロードにより「desktop.ini」ファイルに「Mark-of-the-Web」タグが付与されている場合）は、それらのカスタマイズ機能が動作しなくなる。

■管理者が取れる対策と回避策に伴うコスト

Microsoftは、この変更の影響を受ける組織に対して主に2つの選択肢を推奨している。

1つ目の選択肢は、管理下にある既知のネットワークソースを、Windowsのゾーンポリシーにおいて「信頼済みサイト」に指定することである。ソースが信頼されると、他のすべての場所に対する保護を維持したまま、シェルはその場所の「desktop.ini」ファイルを通常通り処理する。これはリスクの低い方法であり、Microsoftが明示的に推奨しているアプローチだ。

2つ目の選択肢はグループポリシーの設定である。「コンピューターの構成」＞「管理用テンプレート」＞「Windowsコンポーネント」＞「エクスプローラー」配下にある「ファイル ショートカットのアイコンでリモート パスを使用できるようにする」を有効にする。これにより、影響を受けるリモートや信頼できないシナリオにおいて、2026年6月のアップデート前の挙動が復元される。

しかし、Microsoftは、このポリシーを広範囲に適用すると、6月のアップデートで導入されたセキュリティの向上が損なわれると明確に警告している。組織内のすべてのマシンでこれをグローバルに有効にすると、アップデートで塞ぐはずだった脆弱性のすべての攻撃対象領域が再び現れてしまうためだ。Microsoftの推奨は、このポリシーを適用するとしても極めて限定的な範囲に留め、その間に組織が「信頼できないdesktop.ini」処理に依存しないワークフローへと移行することである。

また、3つ目の選択肢として特定のシナリオに対応する方法もある。インターネットからダウンロードした際に「Mark-of-the-Web」タグが付与された「desktop.ini」ファイルについて、その発信元が既知であり信頼できる場合は、ファイルからタグを削除（ブロック解除）することができる。タグを削除すれば、ゾーンポリシーを変更することなく、Windowsは「desktop.ini」を正常に処理できるようになる。

■Windowsが「信頼」を判断する仕組み：MotWとゾーン識別子

6月のアップデートが依存している信頼メカニズムは、Windowsのセキュリティゾーンモデルと「Mark-of-the-Web（MotW）」である。これは、Officeのマクロに対する信頼性判断、SmartScreenのファイル警告、および長年にわたりInternet ExplorerやEdgeの保護モードを管理してきたものと同じフレームワークだ。

ローカルシステムの外部から取得されたすべてのファイルには、「ゾーン識別子（Zone Identifier）」と呼ばれる非表示の代替データストリーム（ADS）が付与される。ゾーン識別子が「インターネット」または「信頼できないサイト」から取得されたものであることを示している場合、Windowsはより厳格な処理ルールを適用できる。2026年6月の変更により、インターネットゾーンまたは信頼できないゾーンの識別子を持つ「desktop.ini」は、ユーザーのシステム上にどれだけ長く存在していたかにかかわらず、シェル機能によって無言でバイパス（無視）される。

このゾーンモデルは、IT管理者に対応策を提供する。グループポリシーを介して、管理対象のネットワーク共有を明示的に「イントラネット」または「信頼済みサイト」ゾーンに配置することで、それらの場所にあるすべてのファイルに、シェルが有効とみなすゾーン識別子が割り当てられる。これにより、該当するパスでのカスタマイズは引き続き機能する。この新しい挙動は、全面的な禁止ではなく、きめ細かな（グラニュラーな）制御ができるように設計されている。

■なぜMicrosoftは予告なしの仕様変更として提供したのか

今回の出来事は、Microsoftの月例セキュリティ更新プログラムの動向を注意深く追ってきた人々にとって、おなじみのパターンを繰り返すものとなった。それは、ユーザーや管理者が依存するようになった挙動を変更して深刻な攻撃対象領域を塞ぎ、ユーザーから不満や問い合わせが寄せられ始めてから、サポート記事を公開して説明するというパターンである。

この仕様変更は、「KB5094126」および「KB5093998」のリリースノートにおいて「フォルダーのカスタマイズ（Folder customization）」という見出しで記載され、サポート記事へのリンクも提供されていたが、企業の管理者が準備するための事前通知（プレビュー通知）は行われなかった。

この脆弱性カテゴリに関するMicrosoft自身の歴史を振り返ると、今回の対策（セキュリティ強化）が正当なものであったことが裏付けられる。シェルの「desktop.ini」におけるバッファの脆弱性は、古くは2003年7月のセキュリティ情報「MS03-027」に登場している。さらに、同じファイルの「.ShellClassInfo」内のCLSID処理を介した別のコード実行パスは、2004年末に「CVE-2004-2289」として登録されている。

そして、脅威グループによる実際の悪用事例が記録されていることは、この攻撃対象領域が単なる理論上のものにとどまらないことを証明していた。2026年6月のアップデートは、もっと早い段階で強化されているべきだった「信頼の境界（トラスト境界）」をようやく閉じたと言える。

■注目ポイントQ&A

●Windows 11のアップデート後にカスタムフォルダーアイコンが消えたのはなぜですか？

Microsoftが2026年6月9日（日本時間6月10日）にリリースしたセキュリティ更新プログラム（Windows 11 24H2/25H2向けの「KB5094126」、およびWindows 11 23H2向けの「KB5093998」）により、「desktop.ini」ファイルの処理方法にセキュリティ強化のための仕様変更が導入されたためです。

Windowsが「信頼できる」と検証できないソースからの「desktop.ini」ファイルを完全に無視するようになったため、定義されていたカスタムフォルダーアイコンやローカライズされた名前が既定の状態に戻ります。これはバグではなく、意図的なセキュリティ対策です。

●ネットワーク共有上の「desktop.ini」にはどのようなセキュリティリスクがありますか？

「desktop.ini」ファイルを読み取るWindowsシェルの関数には、少なくとも2003年（セキュリティ情報「MS03-027」で初公開）からバッファオーバーフローの脆弱性が含まれていました。ネットワーク共有上に悪意のある、または破損した「desktop.ini」ファイルが配置されていると、ユーザーがエクスプローラーでそのフォルダーを表示するだけで、追加の操作をすることなく、ログインしているユーザーの権限で任意のコードが実行されるリスクがありました。この脆弱性は、脅威グループ「OceanLotus」による実際の攻撃でも悪用が記録されています。

●KB5094126のアップデート後にカスタムフォルダーアイコンを復元するにはどうすればよいですか？

個人ユーザーのローカルフォルダーのカスタマイズは、通常は影響を受けません。ネットワーク環境においては、Microsoftは管理対象のネットワークソースをWindowsのゾーンポリシーで「信頼済みサイト」または「イントラネット」に追加することを推奨しています。

これにより、広範な保護を無効にすることなく、該当する場所での「desktop.ini」の処理が復元されます。また、グループポリシー設定の「ファイル ショートカットのアイコンでリモート パスを使用できるようにする」を有効にすることで、アップデート前の挙動をグローバルに復元することも可能ですが、Microsoftはこの設定が脆弱性を再発させるとして広範な適用を警告しており、推奨していません。

●2026年6月のパッチ適用後も、攻撃者が「desktop.ini」を悪用することは可能ですか？

インターネットからのダウンロード、WebDAVの場所、未承認のネットワークパスなど、Windowsが「信頼できない」とみなすソースからの「desktop.ini」ファイルについては、シェルが完全に無視するようになるため、攻撃対象領域は排除されます。

ただし、管理者がグループポリシーを使用してすべてのリモートロケーションに対して以前の挙動を復元するオーバーライド設定を有効にした場合は、脆弱性の攻撃対象領域が再び発生します。そのため、全体の信頼境界を取り払うのではなく、管理対象の特定のネットワークソースに対してのみ明示的に信頼を付与する、より限定的な対策が推奨されています。

元記事: Windows 11 June 2026 Update Kills Folder Icons: 23-Year-Old Shell Bug Finally Closed