Last Updated on 2025-05-15 16:14 by 乗杉 海
Microsoftは2025年5月14日(日本時間)に5月のパッチチューズデーアップデートを公開した。このアップデートでは合計78件の脆弱性が修正され、そのうち5件は既に積極的に悪用されているゼロデイ脆弱性、2件は公開されているが悪用は確認されていないゼロデイ脆弱性である。また、11件の脆弱性が「重大(Critical)」と評価されている。
特に注目すべきは、Microsoftのスクリプトエンジンに存在する型混同の脆弱性(CVE-2025-30397、CVSS 7.5)である。この脆弱性は、EdgeブラウザをInternet Explorerモードで使用しているユーザーが悪意のあるウェブページやメール内の特別に細工されたリンクをクリックすることで悪用され、認証されていない攻撃者がリモートコード実行(RCE)を達成することが可能になる。
積極的に悪用されている他の4つのゼロデイ脆弱性は以下の通りである
- Microsoft DWM Core Libraryの権限昇格の脆弱性(CVE-2025-30400)
- Windows Common Log File System Driverの権限昇格の脆弱性(CVE-2025-32701)
- Windows Common Log File System Driverの権限昇格の脆弱性(CVE-2025-32706)
- Windows Ancillary Function Driver for WinSockの権限昇格の脆弱性(CVE-2025-32709)
これらの権限昇格の脆弱性はすべて、攻撃者がSYSTEM権限を獲得することを可能にする。特にWindows Common Log File System Driverの脆弱性については、2ヶ月連続で同様の脆弱性が悪用されており、過去にはPlayランサムウェアギャングとして知られるStorm-2460という脅威アクターによって悪用された事例がある。
また、公開されているが悪用は確認されていない脆弱性として、Visual Studioのリモートコード実行の脆弱性(CVE-2025-32702)が含まれている。
セキュリティ専門家は、特にCVE-2025-29967(CVSS 8.8)に注目しており、これはリモートデスクトップクライアントを介してほぼ即座にリモートコード実行が可能になる脆弱性である。これは4月のパッチチューズデーでも類似の脆弱性(CVE-2025-27482、CVE-2025-27480)が修正されており、継続的な問題となっている。
Microsoftは、これらの脆弱性に対するパッチを迅速にテストして展開することを強く推奨している。
References:
Windows Zero-Day Bug Exploited for Browser-Led RCE
【編集部解説】
Microsoftの2025年5月のパッチチューズデーは、セキュリティ専門家の間で特に注目を集めています。今回のアップデートでは、複数のソースが報告しているように、合計75件の脆弱性が修正されました。
特に重要なのは、5つの積極的に悪用されているゼロデイ脆弱性です。これらの脆弱性はすでに攻撃者によって悪用されており、早急な対応が求められています。
最も懸念されるのは、EdgeブラウザのInternet Explorerモードを標的としたCVE-2025-30397です。この脆弱性は、一見すると限定的な影響に思えるかもしれません。Edgeブラウザの市場シェアは約5%程度であり、さらにIEモードを使用しているユーザーはその一部に限られるからです。しかし、企業環境では古いイントラネットシステムとの互換性のためにIEモードを使用しているケースが多く、特に大企業や公共機関などが標的になる可能性があります。
権限昇格の脆弱性(CVE-2025-30400、CVE-2025-32701、CVE-2025-32706、CVE-2025-32709)は、一見するとローカルでの攻撃に限定されているように見えますが、実際にはランサムウェア攻撃の重要な構成要素となっています。攻撃者はまず別の手段でシステムに侵入し、これらの脆弱性を利用して管理者権限を獲得し、ネットワーク全体に感染を拡大させる可能性があります。
特に注目すべきは、Windows Common Log File System(CLFS)ドライバの脆弱性が2ヶ月連続で悪用されていることです。これは、攻撃者がこのコンポーネントに特に関心を持っていることを示しています。過去にはPlayランサムウェアギャングとして知られるStorm-2460が同様の脆弱性を悪用していました。このパターンは、特定のサイバー犯罪グループが同じ攻撃手法を継続的に改良している可能性を示唆しています。
また、リモートデスクトッププロトコル(RDP)に関連する脆弱性(CVE-2025-29967)も重大なリスクをもたらします。リモートワークの普及により、RDPの使用は増加しており、この脆弱性はユーザーが攻撃者のRDPサーバーに接続した際に、追加の操作なしでコードを実行できるため、特に危険です。さらに、4月のパッチチューズデーでも類似のRDP関連の脆弱性が修正されており、この領域が継続的に攻撃者の標的となっていることがわかります。
企業のIT管理者にとって、これらのパッチの適用は優先事項となるべきですが、すぐにパッチを適用できない場合の緩和策も重要です。例えば、Internet Explorer 11をスタンドアロンブラウザとして無効にする、ユーザーにフィッシング認識とトレーニングを提供するなどの対策が有効です。
今回の脆弱性パッチは、サイバーセキュリティの世界が常に進化していることを改めて示しています。攻撃者は新たな脆弱性を見つけ出し、それを悪用する方法を常に模索しています。一方で、セキュリティ研究者やベンダーもそれに対応するために日々努力しています。
私たちユーザーにとっては、定期的なソフトウェアアップデートの重要性を再認識する機会となるでしょう。特に企業環境では、パッチ管理プロセスの効率化と迅速な対応が不可欠です。また、多層防御の考え方に基づき、単一の対策に依存せず、複数のセキュリティ対策を組み合わせることが重要です。
最後に、これらの脆弱性の多くが権限昇格に関連していることから、最小権限の原則を徹底することの重要性も浮き彫りになっています。ユーザーやプロセスに必要最小限の権限のみを与えることで、攻撃が成功した場合でも被害を最小限に抑えることができるのです。
【参考リンク】
ゼロデイ脆弱性(Zero-Day Vulnerability):
公式なパッチやセキュリティアップデートがまだ利用できない状態のソフトウェアの欠陥のこと。「ゼロデイ」という名前は、開発者がその脆弱性を修正するための時間(日数)がゼロであることに由来している。
リモートコード実行(RCE):
攻撃者が遠隔地から標的システム上で悪意のあるコードを実行できる重大なセキュリティ脆弱性。これは、物理的なアクセスや標的システムとの直接的な対話を必要とせずに、サイバー犯罪者が被害者のデバイス上で任意のコマンドやプログラムを実行できるようにする。
型混同の脆弱性(Type Confusion Vulnerability):
プログラムがあるオブジェクトの型(クラス)を誤って解釈し、別の型のオブジェクトとして扱う際に発生する脆弱性。これにより、メモリ破壊やコード実行などの深刻な問題が引き起こされる可能性がある。
Common Log File System(CLFS):
トランザクションログやリカバリのために設計された特殊な目的のファイル(サブ)システム。従来の意味でのディスクファイルシステムではなく、NTFSのようなディスクファイルシステムと組み合わせて動作する論理的な(特殊目的の)ファイルシステム。
Internet Explorerモード(IE Mode):
Microsoft Edgeブラウザに含まれる機能で、レガシーIEウェブサイトをInternet Explorer 11ページとしてレンダリングする。これにより、エンドユーザーはブラウザを切り替えたり、すでに廃止されたInternet Explorerブラウザに依存したりすることなく、最新のアプリケーションとレガシーアプリケーションの両方を利用できる。
Zero Day Initiative(ZDI):
Trend Microが運営する世界最大のベンダー非依存型バグ報奨金プログラム。セキュリティ研究者がゼロデイ脆弱性をベンダーに責任を持って報告することを奨励するために作られた。
権限昇格(Elevation of Privilege、EoP):
通常のユーザー権限から管理者(SYSTEM)権限に昇格させる脆弱性。これは、ランサムウェア攻撃などでよく使用される。銀行の一般職員が突然、支店長の権限を得てしまうようなものだ。
Storm-2460(Playランサムウェアギャング):
サイバー犯罪グループの一つで、ランサムウェア攻撃を専門としている。過去にWindows Common Log File System Driverの脆弱性を悪用してPipeMagicマルウェアを展開し、ランサムウェア攻撃を行った実績がある。
【参考リンク】
Microsoft(外部)
マイクロソフトの公式サイト。Windows、Office、Edgeなど、今回の脆弱性に関連する製品を提供している企業。
Microsoft Security Response Center(外部)
Microsoftのセキュリティ対応センター。セキュリティ脆弱性の報告と修正に関する情報を提供している。
【参考動画】
【編集部後記】
皆さんの組織ではセキュリティアップデートをどのように管理されていますか?今回のようなゼロデイ脆弱性は、発見されてから対策までの時間が勝負です。特にIEモードを業務で利用している方は要注意。「うちは関係ない」と思っていても、気づかないうちに古いシステムとの互換性のためにIEモードを使っているケースも少なくありません。また、リモートデスクトップを使用している方も、今回の脆弱性に注意が必要です。週末に少し時間をとって、自分のPC環境を見直してみてはいかがでしょうか?セキュリティは「面倒だから後で」が最も危険な選択肢かもしれません。
