Microsoft脆弱性、「低リスク」評価からわずか8日で実攻撃に悪用される衝撃

2025年4月22日8:40

サイバーセキュリティニュース

Microsoft脆弱性、「低リスク」評価からわずか8日で実攻撃に悪用される衝撃 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-22 08:40 by admin

Microsoftが2025年3月11日のパッチチューズデーでリリースした脆弱性修正プログラムの中で、CVE-2025-24054と呼ばれるNTLMハッシュ漏洩の脆弱性がわずか8日後の3月19日から実際に悪用され始めた。

Microsoftはこの脆弱性を「悪用される可能性が低い」と評価していたが、Check Pointの研究者によると、攻撃者はこの評価に反してすぐに武器化に成功した。

この脆弱性は、ネットワーク経由で被害者のNet-NTLMv2またはNTLMv2-SSPハッシュを漏洩させるために悪用される。攻撃者はこれを利用して「オフラインでハッシュに対するブルートフォース攻撃を試みたり、リレー攻撃を実行したりする」ことができ、ユーザーになりすましてシステムにアクセスすることが可能になる。

最初の攻撃は3月19日から21日頃に発生し、ポーランドとルーマニアの政府機関および民間企業を標的にしていた。攻撃者はフィッシングメールを使って被害者をDropboxにホストされた「xd.zip」というZIPアーカイブのダウンロードに誘導した。その中には4つの悪意あるファイルが含まれており、CVE-2025-24054を悪用する.library-msファイルもその一つだった。

この攻撃の特徴は、ユーザーがアーカイブを解凍するだけ、あるいは場合によってはWindows Explorerでフォルダを表示するだけという最小限の操作で攻撃が成功する点である。これにより、被害者のNet-NTLMv2ハッシュが攻撃者が管理するリモートサーバーに漏洩する。

Check Pointの研究者は、盗まれたNTLMハッシュが特定のIPアドレス（159.196.128.120）に送信されていることを確認した。このIPアドレスは、2025年1月にHarfangLabによってロシア支援のハッキンググループFancy Bear（APT28としても知られる）に関連していると指摘されていた。ただし、このIPをグループに直接関連付ける追加情報はないとセキュリティ研究者は述べている。

3月25日までに攻撃手法は進化し、攻撃者はZIPアーカイブだけでなく、.library-msファイルを直接標的にメールで送信するようになった。この時点で約10の別々の攻撃キャンペーンが観察され、すべてNTLMv2ハッシュの収集を目的としていた。盗まれた認証情報は、ロシア、ブルガリア、オランダ、オーストラリア、トルコに位置する攻撃者が管理するSMBサーバーに送信されていた。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は4月18日、この脆弱性を「既知の悪用される脆弱性（KEV）カタログ」に追加し、連邦政府機関に対して2025年5月8日までに必要な修正を適用するよう指示した。

Check Pointは「この迅速な悪用は、組織がすぐにパッチを適用し、環境内のNTLM脆弱性に対処することの重要性を浮き彫りにしている」と報告している。

from:Microsoft rated this bug as low exploitability. Miscreants weaponized it in just 8 days

【編集部解説】

今回のMicrosoft脆弱性事例は、サイバーセキュリティの世界における「理論的リスク評価」と「現実の脅威」の間に存在するギャップを鮮明に示しています。Microsoftが「悪用される可能性が低い」と評価した脆弱性が、わずか8日で実際の攻撃に使用されるという事態は、セキュリティ対策における重要な教訓となります。

この脆弱性（CVE-2025-24054）の特筆すべき点は、攻撃を成功させるために必要なユーザー操作が極めて少ないことです。単にファイルを選択する（シングルクリック）、検査する（右クリック）、あるいはZIPファイルを解凍するだけで攻撃が成功してしまいます。これは従来の「不審なファイルを開かない」という基本的なセキュリティ対策だけでは防ぎきれない脅威であることを意味しています。

Check Pointの研究者らによると、この脆弱性を悪用した攻撃は3月19日から確認されており、3月20日から21日にかけてポーランドとルーマニアの政府機関および民間企業を標的にしたキャンペーンが展開されました。その後、3月25日までに約10の別々の攻撃キャンペーンが観察されています。

興味深いのは、攻撃に使用されたIPアドレスの一つ（159.196.128.120）が、ロシア支援のハッキンググループFancy Bear（APT28）に関連付けられていた点です。ただし、セキュリティ研究者らは、この情報だけでは確実な帰属を判断するには不十分だとしています。

この脆弱性の技術的な仕組みを理解することも重要です。Windows Explorerが.library-msファイルを処理する際に、外部のSMBサーバーへの認証要求を自動的に開始し、その過程でNTLMv2-SSPハッシュが漏洩します。攻撃者はこのハッシュを利用して、オフラインでパスワードを解読したり、リレー攻撃を実行したりすることが可能になります。

特に注目すべきは、この脆弱性が当初CVE-2025-24071として識別されていましたが、後にCVE-2025-24054に変更された点です。また、この脆弱性は2024年に修正されたCVE-2024-43451と類似しており、過去にウクライナの組織を標的としたゼロデイ攻撃に使用されたものと関連性があります。これは、同様の脆弱性が繰り返し発見され、攻撃者によって悪用されていることを示しています。サイバーセキュリティの世界では、過去の脆弱性のバリエーションが新たな脅威として再浮上することが少なくありません。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は4月18日、この脆弱性を「既知の悪用される脆弱性（KEV）カタログ」に追加し、連邦政府機関に対して2025年5月8日までに必要な修正を適用するよう指示しました。これは、この脆弱性の深刻さを示す公的な認識といえるでしょう。

企業や組織にとっての教訓は明確です。Microsoftの脆弱性評価に関わらず、パッチが公開されたらできるだけ早く適用することが重要です。また、可能であればNTLM認証を無効化し、より安全なKerberos認証に移行することも推奨されています。

最後に、この事例は「パッチ管理」の重要性を再認識させるものです。多くの組織では、パッチ適用のプロセスが複雑で時間がかかるため、優先順位の低い脆弱性の修正が遅れがちになります。しかし、今回のケースが示すように、「悪用される可能性が低い」という評価が必ずしも現実のリスクを正確に反映しているとは限りません。

テクノロジーの進化とともに、サイバー攻撃の手法も日々進化しています。組織のセキュリティ担当者は、ベンダーの評価に過度に依存せず、すべての脆弱性を潜在的な脅威として扱う姿勢が求められているのです。

【用語解説】

NTLM（NT LAN Manager）:
Windowsシステムで使用される認証プロトコル。ユーザーのパスワードをハッシュ化し、そのハッシュを使ってユーザー認証を行う仕組みである。銀行のキャッシュカードと暗証番号の関係に似ており、暗証番号そのもの（パスワード）ではなく、暗証番号から生成された特殊な値（ハッシュ）を使って本人確認を行う。

NTLMv2ハッシュ:
NTLMの改良版であるNTLMv2で使用されるパスワードハッシュ。元のパスワードから一方向の数学的処理で生成される値で、これが漏洩するとパスワード解読やなりすまし攻撃に悪用される可能性がある。

パス・ザ・ハッシュ攻撃:
パスワードそのものを知らなくても、そのハッシュ値さえ入手できれば、それを使ってシステムにアクセスできる攻撃手法。鍵そのものを持っていなくても、鍵の型を複製すれば鍵を作れることに似ている。

パッチチューズデー:
Microsoftが毎月第2火曜日にセキュリティ更新プログラムをリリースする慣行。IT管理者にとって重要なスケジュールとなっている。

CVE（Common Vulnerabilities and Exposures）:
公開された情報セキュリティの脆弱性や危険性に関する共通識別子。CVE-2025-24054のような形式で表記され、特定の脆弱性を一意に識別するために使用される。

APT28（Fancy Bear）:
ロシア軍情報総局（GRU）に関連するとされるハッカーグループ。政府機関や軍事組織、政治組織などを標的とした高度なサイバー攻撃を行うことで知られている。

.library-msファイル:
Windowsのライブラリ機能を定義するXML形式のファイル。Windows 7以降で導入され、ユーザーがファイルやフォルダを整理するのに役立つが、今回のケースでは悪用されている。

SMB（Server Message Block）:
Windowsネットワークでファイル共有やプリンタ共有などに使用されるプロトコル。今回の脆弱性では、SMB認証プロセスを悪用してハッシュを漏洩させている。

【参考リンク】

Check Point Software Technologies（外部）
イスラエル系のサイバーセキュリティ企業。ファイアウォールやVPNなどのセキュリティソリューションを提供している。

CISA（米国サイバーセキュリティ・インフラストラクチャセキュリティ庁）（外部）
米国の重要インフラのサイバーセキュリティを担当する連邦政府機関。脆弱性情報の収集・分析・共有を行っている。

Microsoft Security Response Center (MSRC)（外部）
Microsoftのセキュリティ脆弱性に関する情報を提供し、セキュリティ更新プログラムのリリースを管理する部門。

【編集部追記】

サイバーセキュリティの世界では、「低リスク」と評価された脆弱性が、わずか8日で実際の攻撃に使われるという事態が起きています。皆さんの組織では、脆弱性の優先順位をどのように決めていますか？「重要度が低い」とされるパッチの適用はどのくらいのスピード感で行われているでしょうか？今回の事例は、セキュリティ対策における「理論」と「現実」のギャップについて、改めて考えるきっかけになるかもしれません。ぜひ、皆さんの現場での経験や考えをSNSで共有していただければ幸いです。