情シスが頼る「WSUS」に致命的な欠陥 全権限乗っ取りの危険性

Windowsの更新管理機能「WSUS」に、認証情報がなくても最高権限を奪取される重大な脆弱性（CVE-2025-59287）が見つかった。すでに攻撃が始まっており、緊急対応が必要だ。

[David Jones，Cybersecurity Dive]

　企業内でWindowsの更新プログラムを一元管理したり、配布したりする「Windows Server Update Services」（WSUS）がサイバー攻撃を受けている。

　WSUSは新機能の開発が終了しており、非推奨という扱いだが、利用を続けている企業は多く、標準ツールという扱いだ。つまり、WSUSを狙ったサイバー攻撃は日本企業にとって無視できない影響力がある。

情シスが頼る「WSUS」に致命的な欠陥　全権限乗っ取りの危険性

　この情報は『Cybersecurity Dive』が入手したものだ。Google Threat Intelligence Group（GTIG）はWSUSの重大な脆弱（ぜいじゃく）性を狙う一連の攻撃を調査しているようだ。

　この脅威活動は2025年10月20日（現地時間、以下同）の週以降、急激に活発になっている。背景には、WSUSを悪用する概念実証（PoC）コードが公開された事実がある。

　GTIGの研究者は、Cybersecurity Diveに次のように語った。

　「現在、当社は複数の組織を攻撃するために悪用されている脆弱性『CVE-2025-59287』＊を積極的に調査している。攻撃を仕掛けているのは『UNC6512』という名称で追跡されるようになった新しい攻撃者だ」（注1）

＊脆弱性の内容は認証を必要としないリモートコード実行だ。攻撃が成功するとWSUSサーバでのSYSTEM権限を奪取できるため、完全に乗っ取られてしまう。深刻度はCritical（緊急）、CVSSスコアは9.8だ。影響を受けるシステムはWSUSのサーバロールが有効になっている「Windows Server 2012／2012 R2／2016／2019／2022／2025」だ。つまり最新のWindows Serverでも影響を受ける（キーマンズネット編集部）

　研究者によると、UNC6512は標的のシステムへの初期侵入に成功した後、侵害したホストと周辺環境の偵察行為を実施しているという。また、GTIGによると、影響を受けたホストからデータを盗み出す動きもあるようだ。

　今回の脅威活動は、Huntress Labsを含む複数のセキュリティ企業が以前に報告していた観測結果を裏付けるものだった。2025年10月20日の週の終わりに、Huntressは少なくとも4つの顧客の環境で脆弱性を悪用する活動を確認したと報告していた。

　2025年10月14日に、Microsoftはこの脆弱性に対応した定期セキュリティ更新プログラムを公開したものの、完全には修正できていないことが分かった。そこで、同10月23日に緊急に更新した。その直後、この脆弱性の根本原因を解明して啓発するため、HawkTrace Cyber Securityの研究者がこの脆弱性に関連するPoC用のコードを公開した（注2）。同社がPoCコードを公開した時点で、既に攻撃者が脆弱性を利用し始めていたことも理由の一つだ。

　サイバーセキュリティ事業を営むEye Securityの研究者は、EDR（エンドポイント検知および対応）のテレメトリが捉えた不審な挙動をきっかけに（注3）、実際に脅威が進行中だということに気付いた。その後、研究者は公開されていたPoC用のコードの再現に成功し、WSUSサーバをインターネットに公開することの危険性について、複数のセキュリティパートナーや政府機関に警告を発したという。

　Eye Securityの研究者によると、複数の亜種がこの脆弱性を狙っている可能性があるという。これはHuntress Labsが公開した情報と、実際に観測されたTTP（戦術・技術・手順）を比較した結果に基づく考えだ。

　Eye Securityの広報担当者はCybersecurity Diveに次のように語った。

　「少なくとも2組の攻撃者が、2025年10月24日以降にこの脆弱性を悪用している」

　一方、Palo Alto NetworksのUnit 42に所属する研究者は「悪意のあるPowerShellのコマンドを利用した脆弱性の悪用を確認した」と述べた（注4）。インテリジェンスを収集するための偵察や内部ドメイン構造のマッピング、価値の高いユーザーアカウントの探索などの目的でコマンドが実行されているようだ。

　サイバーセキュリティ業界で活動する非営利団体のThe Shadowserver Foundationによると、この脆弱性にさらされているWSUSのインスタンスは約2800件に上るという（注5）。一方、その中で実際に脆弱性の影響を受けるインスタンスの数は明らかになっておらず、研究者は正確な数を調査しているとのことだ。

　米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、存在と悪用が確認されている脆弱性をまとめたKEVカタログに、この脆弱性を追加し、WSUSのユーザーに対して、パッチを速やかに適用し（注6）、Microsoftが提供する緩和策のガイダンスに従うよう強く呼び掛けた。

　2025年10月20日の週の末に、CISAはCybersecurity Diveに、「連邦政府機関がこの脆弱性の影響を受けた証拠は現時点では確認されていない」と語った。しかし同時に、政府機関以外の組織には、不審な活動を発見した場合は必ず報告するよう強く呼び掛けた。

　CISAのニック・アンダーセン氏（サイバーセキュリティ部門の副部長）は、Cybersecurity Diveに次のように語った。

　「『CVE-2025-59287』への対応について、CISAはMicrosoftや関係組織と連携して、緩和策のガイダンスを迅速に提供し、重要システムを守るために取り組んでいる。サイバーセキュリティは静的なものではない。絶え間ない連携や迅速な対応、組織横断の取り組みが不可欠なのだ」

出典：Google probes exploitation of critical Windows service CVE（Cybersecurity Dive）
注1：CVE-2025-59287 Detail（NIST）
注2：CVE-2025-59287 WSUS Unauthenticated RCE（HawkTrace Cyber Security）
注3：WSUS Deserialization Exploit in the Wild (CVE-2025-59287)（Eye Security）
注4：Microsoft WSUS Remote Code Execution (CVE-2025-59287) Actively Exploited in the Wild (Updated November 3)（Unit 42）
注5：World map（The Shadowserver Foundation）
注6：Microsoft Releases Out-of-Band Security Update to Mitigate Windows Server Update Service Vulnerability, CVE-2025-59287（CISA）

原文へのリンク