ランサムウェアに悪用された“Windowsの穴”とは? パッチで直らない脆弱性もMicrosoftが公開した126件の脆弱性

2025年4月8日、Microsoftは同社のサービスに存在する126件の脆弱性を公開した。すでに悪用が確認されたものも含まれている。特に危険性の高い脆弱性と、取るべき対処を紹介する。

2025年05月12日 05時00分 公開
[Tom WalatTechTarget]

 Microsoftは2025年4月8日(現地時間)、月例アップデートを配布した。126件の脆弱(ぜいじゃく)性に対処するパッチ(修正プログラム)が含まれる。Microsoftは今回対処した脆弱性のリストを公開している。脆弱性の危険度を10段階で示す「CVSSスコア」における最大値は「8.8」で、10件が該当する。「緊急」と評価されたのは11件だ。ほとんどはOS「Windows」の脆弱性だが、オフィススイート「Microsoft Office」関連の脆弱性も18件存在する。すでに悪用が確認されたもの、手作業での対処が必要なものなど、要注意の脆弱性を取り上げる。

悪用が確認された脆弱性は?

会員登録(無料)が必要です

 不正利用が明らかになったゼロデイ脆弱性(修正プログラムが提供される前の脆弱性)は以下の通り。

  • CVE-2025-29824
    • Windowsのログ取得機能「Common Log File System」(CLFS:共通ログファイルシステム)の権限昇格(EoP:Elevation of Privilege)につながる脆弱性
    • CVSSスコアは7.8、深刻度は「重要」

 この脆弱性は、WindowsおよびサーバOS「Windows Server」に関係する。2025年4月9日(現地時間)には、32bit版と「x64」ベースの「Windows 10」向けパッチが公開された。

 物理的に、もしくはリモートアクセスツール経由でローカルマシンにアクセスできる攻撃者は、Windowsの標準ユーザーアカウントを使ってエクスプロイト(脆弱性悪用プログラム)を使用できる。

 セキュリティベンダーIvanti Softwareのプロダクトマネジメント部門のバイスプレジデントを務めるクリス・ゴエトル氏は警鐘を鳴らす。「この脆弱性を悪用すると、『System』(システム)アカウントへと昇格でき、そのマシンを掌握できる。今回公表された中で最もリスクの高い脆弱性と言えるだろう」

 Microsoftは「Storm-2460」と呼ばれるランサムウェア(身代金要求型マルウェア)集団による悪用を確認したと発表した。米国、ベネズエラ、スペイン、サウジアラビアの組織が被害に遭ったという。標的システムに侵入したStorm-2460は、この脆弱性を利用してシステム権限を取得し、ペイロード(マルウェアの実行を可能にするプログラム)を展開してファイルの暗号化に成功した。

更新プログラムの適用後に追加の手作業が必要な脆弱性は?

 リストには、Microsoftのセキュリティ更新プログラムを適用するだけでは不十分な脆弱性も含まれている。以下の3件には追加の手作業が必要だ。

  • CVE-2025-26647
    • 認証プロトコル「Kerberos」のEoPにつながる脆弱性
    • CVSSスコアは8.1、深刻度は「重要」
  • CVE-2025-21197
    • ファイルシステム「NTFS」(New Technology File System)の情報漏えいにつながる脆弱性
    • CVSSスコアは6.5、深刻度は「重要」
  • CVE-2025-27738
    • ファイルシステム「ReFS」(Resilient File System)の情報漏えいにつながる脆弱性
    • CVSSスコアは6.5、深刻度は「重要」

 「今回、Microsoftはパッチが問題を引き起こすことを懸念して、インストールだけでは有効化されないものを含めている。ユーザーによる手動の有効化が必要だ」(ゴエトル氏)

 各脆弱性の詳細と有効化の手順は以下の通り。

CVE-2025-26647

 Windows Serverに関係する脆弱性だ。Windows Server搭載のドメインコントローラー(認証サーバ)で、ログイン試行に対して適切な認証が行われず、攻撃者が権限を昇格させる危険がある。攻撃の複雑さ、および攻撃に必要な権限について、Microsoftは低いと評価している。

 「認証をパスした攻撃者は、通信する二者間に割り込む『中間者攻撃』(MITM)や、他人になりすましたりデータを偽造したりする『スプーフィング攻撃』によって、この脆弱性を悪用できる。不正なKerberosメッセージをクライアントに送信して、認証サーバになりすますことも可能だ」。Microsoftはそう書いている。

 Microsoftによると、CVE-2025-26647への対処は3段階で行われ、今回の更新プログラムはその第1段階に該当する。4月8日の更新プログラムを適用すると、ログインを試みるデバイスの証明書をチェックする動作が追加されるが、自動で実行されるわけではない。有効化にはレジストリキーの設定が必要だ。設定すれば、チェックを実行して不適合な証明書を検出したり、ログインを拒否したりできるようになる。

 2025年7月8日(現地時間)以降に配布予定の更新プログラムでは、証明書の確認がデフォルトで強制されるようになる予定だ。レジストリキーの設定により、必要に応じて監査モードに戻すことも可能だという。2025年10月14日(現地時間)以降に配布予定の更新プログラムでは、レジストリキーの変更が不可能になるとされている。

CVE-2025-21197

 この脆弱性はWindowsおよびWindows Serverに関係する。2025年4月9日(現地時間)にWindows 10向けのパッチも公開された。「アプリケーションの互換性に関するリスクを軽減するため、この脆弱性に対処する修正プログラムはデフォルトでは無効になっている。管理者は必要に応じてレジストリキーを設定して有効化できる」とMicrosoftは述べている。

CVE-2025-27738

 WindowsおよびWindows Serverに関係する脆弱性だ。CVE-2025-21197の場合と同じく、アプリケーションの互換性に関する問題を避けるため、デフォルトでは無効になっている。手動で有効化する手順は、Microsoftの公式サイトに載せられている。有効化すれば、ファイルシステムへのアクセス時のチェックが強化され、権限のないユーザーがファイルパスを閲覧できなくなる。

その他の見過ごせない脆弱性は?

  • CVE-2025-29793およびCVE-2025-29794
    • 社内ポータルサイト構築ツール「Microsoft SharePoint」の「リモートコード実行」(RCE:Remote Code Execution)につながる脆弱性
  • CVSSスコアはそれぞれ7.2と8.8、深刻度は両者共に「重要」
    • Microsoftはこの2件の脆弱性について、「悪用される可能性が高い」と評価している。攻撃に必要な条件が低く、特にCVE-2025-29794については基本的なユーザー権限だけで悪用できるので、要注意だ。
  • CVE-2025-29802およびCVE-2025-29804
    • 統合開発環境(IDE)「Visual Studio」の脆弱性
    • CVSSスコアは両者7.3、深刻度は共に「重要」
  • CVE-2025-32726
    • Visual Studioの拡張機能「Visual Studio Code」の脆弱性
    • CVSSスコアは6.8、深刻度は「重要」
  • CVE-2025-29803
    • Visual Studioの拡張機能「Visual Studio Tools for Applications」およびSQLデータベースIDE「SQL Server Management Studio」の脆弱性
    • CVSSスコアは7.3、深刻度は「重要」
    • 以上4件のVisual Studioに関係する脆弱性はすべて「悪用される可能性は低い」と評価されているものの、機密情報への不正アクセスや悪意のあるコードの実行を防ぐために、迅速な修正が重要だ。
  • CVE-2025-27743
    • インフラ管理ツール群「Microsoft System Center」のEoPにつながる脆弱性
    • CVSSスコアは7.8、深刻度は「重要」
    • この脆弱性は古いバージョンのMicrosoft System Centerのインストーラーの「.exe」ファイルを利用することで発生する。ユーザーは既存のインストーラーファイルを削除し、最新バージョンをダウンロードする必要がある。

Microsoft、WSUSのサポート終了計画を延期

 Microsoftは2024年、システム更新ツール「Windows Server Update Services」(WSUS)のサポートを2025年4月に終了すると発表していたが、今回この計画を延期すると発表した。同社によると、インターネットに接続していないデバイスについてユーザーから寄せられた問い合わせを受け、計画を変更したという。

 MicrosoftはWSUSのサポート終了を延期したが、WSUSの代替手段としてデバイス管理ツール「Microsoft Intune」や自動更新ツール「Windows Autopatch」の採用を検討するよう推奨している。

(翻訳・編集協力:編集プロダクション雨輝)

TechTarget発 先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を変革、人手に頼ったSOCモデルから脱却する方法とは?

従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。

技術文書・技術解説 株式会社インターネットイニシアティブ

“次世代SD-WAN”とは何なのか? 「SASE」との関係は

比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。

製品資料 ServiceNow Japan合同会社

脅威はランサムウェアだけではない、重大なセキュリティインシデントをどう防ぐ

ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...