ランサムウェアに悪用された“Windowsの穴”とは？　パッチで直らない脆弱性も：Microsoftが公開した126件の脆弱性

2025年4月8日、Microsoftは同社のサービスに存在する126件の脆弱性を公開した。すでに悪用が確認されたものも含まれている。特に危険性の高い脆弱性と、取るべき対処を紹介する。

≫ 2025年05月12日 05時00分公開

[Tom Walat，TechTarget]

悪用が確認された脆弱性は？

併せて読みたいお薦め記事

攻撃者が狙う脆弱性

　不正利用が明らかになったゼロデイ脆弱性（修正プログラムが提供される前の脆弱性）は以下の通り。

CVE-2025-29824
- Windowsのログ取得機能「Common Log File System」（CLFS：共通ログファイルシステム）の権限昇格（EoP：Elevation of Privilege）につながる脆弱性
- CVSSスコアは7.8、深刻度は「重要」

　この脆弱性は、WindowsおよびサーバOS「Windows Server」に関係する。2025年4月9日（現地時間）には、32bit版と「x64」ベースの「Windows 10」向けパッチが公開された。

　物理的に、もしくはリモートアクセスツール経由でローカルマシンにアクセスできる攻撃者は、Windowsの標準ユーザーアカウントを使ってエクスプロイト（脆弱性悪用プログラム）を使用できる。

　セキュリティベンダーIvanti Softwareのプロダクトマネジメント部門のバイスプレジデントを務めるクリス・ゴエトル氏は警鐘を鳴らす。「この脆弱性を悪用すると、『System』（システム）アカウントへと昇格でき、そのマシンを掌握できる。今回公表された中で最もリスクの高い脆弱性と言えるだろう」

　Microsoftは「Storm-2460」と呼ばれるランサムウェア（身代金要求型マルウェア）集団による悪用を確認したと発表した。米国、ベネズエラ、スペイン、サウジアラビアの組織が被害に遭ったという。標的システムに侵入したStorm-2460は、この脆弱性を利用してシステム権限を取得し、ペイロード（マルウェアの実行を可能にするプログラム）を展開してファイルの暗号化に成功した。

更新プログラムの適用後に追加の手作業が必要な脆弱性は？

　リストには、Microsoftのセキュリティ更新プログラムを適用するだけでは不十分な脆弱性も含まれている。以下の3件には追加の手作業が必要だ。

CVE-2025-26647
- 認証プロトコル「Kerberos」のEoPにつながる脆弱性
- CVSSスコアは8.1、深刻度は「重要」
CVE-2025-21197
- ファイルシステム「NTFS」（New Technology File System）の情報漏えいにつながる脆弱性
- CVSSスコアは6.5、深刻度は「重要」
CVE-2025-27738
- ファイルシステム「ReFS」（Resilient File System）の情報漏えいにつながる脆弱性
- CVSSスコアは6.5、深刻度は「重要」

　「今回、Microsoftはパッチが問題を引き起こすことを懸念して、インストールだけでは有効化されないものを含めている。ユーザーによる手動の有効化が必要だ」（ゴエトル氏）

　各脆弱性の詳細と有効化の手順は以下の通り。

CVE-2025-26647

　Windows Serverに関係する脆弱性だ。Windows Server搭載のドメインコントローラー（認証サーバ）で、ログイン試行に対して適切な認証が行われず、攻撃者が権限を昇格させる危険がある。攻撃の複雑さ、および攻撃に必要な権限について、Microsoftは低いと評価している。

　「認証をパスした攻撃者は、通信する二者間に割り込む『中間者攻撃』（MITM）や、他人になりすましたりデータを偽造したりする『スプーフィング攻撃』によって、この脆弱性を悪用できる。不正なKerberosメッセージをクライアントに送信して、認証サーバになりすますことも可能だ」。Microsoftはそう書いている。

　Microsoftによると、CVE-2025-26647への対処は3段階で行われ、今回の更新プログラムはその第1段階に該当する。4月8日の更新プログラムを適用すると、ログインを試みるデバイスの証明書をチェックする動作が追加されるが、自動で実行されるわけではない。有効化にはレジストリキーの設定が必要だ。設定すれば、チェックを実行して不適合な証明書を検出したり、ログインを拒否したりできるようになる。

　2025年7月8日（現地時間）以降に配布予定の更新プログラムでは、証明書の確認がデフォルトで強制されるようになる予定だ。レジストリキーの設定により、必要に応じて監査モードに戻すことも可能だという。2025年10月14日（現地時間）以降に配布予定の更新プログラムでは、レジストリキーの変更が不可能になるとされている。

CVE-2025-21197

　この脆弱性はWindowsおよびWindows Serverに関係する。2025年4月9日（現地時間）にWindows 10向けのパッチも公開された。「アプリケーションの互換性に関するリスクを軽減するため、この脆弱性に対処する修正プログラムはデフォルトでは無効になっている。管理者は必要に応じてレジストリキーを設定して有効化できる」とMicrosoftは述べている。

CVE-2025-27738

　WindowsおよびWindows Serverに関係する脆弱性だ。CVE-2025-21197の場合と同じく、アプリケーションの互換性に関する問題を避けるため、デフォルトでは無効になっている。手動で有効化する手順は、Microsoftの公式サイトに載せられている。有効化すれば、ファイルシステムへのアクセス時のチェックが強化され、権限のないユーザーがファイルパスを閲覧できなくなる。

その他の見過ごせない脆弱性は？

CVE-2025-29793およびCVE-2025-29794
- 社内ポータルサイト構築ツール「Microsoft SharePoint」の「リモートコード実行」（RCE：Remote Code Execution）につながる脆弱性
CVSSスコアはそれぞれ7.2と8.8、深刻度は両者共に「重要」
- Microsoftはこの2件の脆弱性について、「悪用される可能性が高い」と評価している。攻撃に必要な条件が低く、特にCVE-2025-29794については基本的なユーザー権限だけで悪用できるので、要注意だ。
CVE-2025-29802およびCVE-2025-29804
- 統合開発環境（IDE）「Visual Studio」の脆弱性
- CVSSスコアは両者7.3、深刻度は共に「重要」
CVE-2025-32726
- Visual Studioの拡張機能「Visual Studio Code」の脆弱性
- CVSSスコアは6.8、深刻度は「重要」
CVE-2025-29803
- Visual Studioの拡張機能「Visual Studio Tools for Applications」およびSQLデータベースIDE「SQL Server Management Studio」の脆弱性
- CVSSスコアは7.3、深刻度は「重要」
- 以上4件のVisual Studioに関係する脆弱性はすべて「悪用される可能性は低い」と評価されているものの、機密情報への不正アクセスや悪意のあるコードの実行を防ぐために、迅速な修正が重要だ。
CVE-2025-27743
- インフラ管理ツール群「Microsoft System Center」のEoPにつながる脆弱性
- CVSSスコアは7.8、深刻度は「重要」
- この脆弱性は古いバージョンのMicrosoft System Centerのインストーラーの「.exe」ファイルを利用することで発生する。ユーザーは既存のインストーラーファイルを削除し、最新バージョンをダウンロードする必要がある。

Microsoft、WSUSのサポート終了計画を延期

　Microsoftは2024年、システム更新ツール「Windows Server Update Services」（WSUS）のサポートを2025年4月に終了すると発表していたが、今回この計画を延期すると発表した。同社によると、インターネットに接続していないデバイスについてユーザーから寄せられた問い合わせを受け、計画を変更したという。

　MicrosoftはWSUSのサポート終了を延期したが、WSUSの代替手段としてデバイス管理ツール「Microsoft Intune」や自動更新ツール「Windows Autopatch」の採用を検討するよう推奨している。

（翻訳・編集協力：編集プロダクション雨輝）

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ