またもやWindowsの標準機能にゼロデイ脆弱性 すぐさま企業が標的に

Windowsの標準機能にゼロデイ脆弱性が見つかった結果、企業の被害が相次いでいる。

[David Jones，Cybersecurity Dive]

　ゼロデイ脆弱（ぜいじゃく）性が見つかったのは、Windowsの共通ログファイルシステム（Common Log File System：CLFS）だ。Microsoftの研究者によると（注1）、IT関連企業や不動産企業などを標的に攻撃者がランサムウェア攻撃を仕掛けているという。

共通ログファイルシステムとは

　CLFSはWindowsにおける汎用（はんよう）のロギングサブシステムだ。ソフトウェアが利用する高性能なトランザクションログを構築する際に必要な機能を提供する。CLFSを利用するアプリケーションは多岐にわたる。「Microsoft SQL Server」はトランザクションの整合性を確保するために、「Microsoft Exchange Server」はメールトランザクションのログを管理するために、「Windows File Server」はファイルシステムのトランザクションを管理して、データの整合性を保つためにCLFSを利用する。（キーマンズネット編集部）

Windowsの標準機能にゼロデイ脆弱性　すぐさま企業が標的に

　以下では攻撃の内容について紹介しよう。

　この脆弱性を発見した研究者によると、マルウェア「PipeMagic」を通じて脆弱性を利用し、不正なプログラムが展開されていたという。研究者は「『Storm-2460』として追跡されている攻撃者がランサムウェアの展開のためにPipeMagicを使用していた」と述べた。

　CLFSの脆弱性は特権昇格に関連する脆弱性だ（注2）。通常のユーザーアカウントを悪用する攻撃者が権限を昇格することで、より広範囲な攻撃が可能になる。Microsoftはこの問題に対処するため、2025年4月8日にセキュリティ更新プログラムをリリースした。

他にもあるWindows標準機能を使ったサイバー攻撃

　Windowsの標準機能を使ったサイバー攻撃は他にも存在する。2025年3月に話題に上がったのは、Windowsに付属する管理コンソール「Microsoft Management Console」（MMC）のゼロデイ脆弱性「CVE-2025-26633」を悪用した攻撃だ。これは日本語表示のWindowsでは「Windows 管理コンソール」または「管理コンソール」と表示されるものを対象としていて、攻撃者が被害者に悪質なリンクをクリックさせるか、悪質なファイルを開かせることで、MMC内のセキュリティ機能を回避できる。この脆弱性は2025年3月11日に月例のセキュリティ更新プログラムでパッチが提供された。

　Microsoftが対策を施していない脆弱性も幾つかある。

　Trend Microが「ZDI-CAN-25373」と呼ぶ脆弱性がその一例だ。攻撃者が加工されたショートカットファイルを利用することで、被害者のデバイスで悪質なコマンドを秘密裏に実行できるという。

　Windowsの「リモートデスクトップ」はユーザーがログインパスワードを変更しても、古いパスワードが有効なまま残ってしまう。これはMicrosoftが意識的に設計した挙動だが、考え方によっては脆弱性と捉えることもできるだろう。攻撃者によって悪用される余地があるからだ。（キーマンズネット編集部）

　PipeMagicはバックドアとゲートウェイの両方の機能を持つマルウェアで、モジュール型の設計を採っているため、必要に応じて機能を追加できる。2022年にKasperskyの研究者によって発見されたマルウェアだ（注3）。当時、アジアでの攻撃に使用されており、その後、サウジアラビアにおけるバックドア攻撃でも確認された。その際、「ChatGPT」の偽物のアプリケーションをかたっていた。

ESETの研究が脆弱性発見に役立ったのか

　サイバーセキュリティサービスを提供するESETの研究者たちによると、Win32の脆弱性「CVE-2025-24983」を悪用したゼロデイ攻撃に関連してPipeMagicが観測されたという（注4）。

　ESETのフィリップ・ユルチャコ氏（シニアマルウェアリサーチャー）は次のように述べた。

　「当社の脆弱性レポートにはPipeMagicのサンプルも含まれており。それがMicrosoftによる追加調査につながり、最終的に『CVE-2025-29824』の発見に結び付いた可能性がある」

　Microsoftの研究者によると、CLFSの脆弱性を利用した攻撃は米国のIT企業や不動産企業の他、ベネズエラの金融関係の企業、サウジアラビアの小売企業、スペインのソフトウェア企業を標的にしていたという。

　同社によると、今回の攻撃の初期経路は特定できていない。マルウェアをホストするために、過去に侵害された正規のサードパーティーのWebサイトから攻撃者がWindows標準のコマンドラインツール「certutil」をダウンロードしたことが確認されているという。

　Microsoftの研究者によると、この不正プログラムはCLFSのカーネルドライバーにおける脆弱性を狙ったもののようだ。同社は「この脆弱性が存在しているとしても、『Windows 11』のバージョン24H2を利用するユーザーは、今回確認された脅威の影響を受けない」と述べた。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は（注5）、すでに悪用された実例がある脆弱性をまとめたKEVカタログに「CVE-2025-29824」を追加した。これはこの脆弱性が危険だということを意味する。

出典：Windows CLFS zero-day exploited in ransomware attacks（Cybersecurity Dive）
注1：Exploitation of CLFS zero-day leads to ransomware activity（Microsoft）
注2：CVE-2025-29824（CVE）
注3：Kaspersky uncovers PipeMagic backdoor attacks businesses through fake ChatGPT application（Kaspersky）
注4：CVE-2025-24983 Detail（NIST）
注5：CISA Adds Two Known Exploited Vulnerabilities to Catalog（CISA）

原文へのリンク