Microsoft製品の脆弱性が狙われた 「Power Pages」が標的に
MicrosoftのWebサイト構築アプリケーション「Power Pages」に権限昇格の重大な脆弱性が公表されて、修正された。同製品のユーザー企業はどのように対応すればよいだろうか。
Microsoft製品がまたサイバー攻撃に狙われた。企業のWebサイト構築のためのSaaS型のローコード開発プラットフォーム「Microsoft Power Pages」(以下、Power Pages」が標的だ。
Microsoft製品の脆弱性が狙われた
攻撃者が使ったのはPower Pagesで見つかったゼロデイ脆弱(ぜいじゃく)性「CVE-2025-24989」だ。
米国国立標準技術研究所(NIST)はこの脆弱性をカタログに掲載済みだ(注1)。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と高く、重大な脆弱性(critical)に分類された。脆弱性の内容はアクセス制御の問題によってPower Pages内での権限昇格が可能になることだ。
Microsoftはこの脆弱性を2025年2月19日に公表し、修正した。同社はセキュリティ勧告の中で(注2)、この脆弱性が実際に攻撃者によって悪用されていると警告した。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2025年2月21日に、実際に悪用されていることが確認できた脆弱性をまとめたKEVカタログに「CVE-2025-24989」を追加した。その上で、連邦機関に対し、2025年3月14日までに緩和策を適用するよう命じた。
KEVカタログとは
CISAがKEVカタログを作成する目的は政府や企業に重大なリスクをもたらす脆弱性の「生きた」リストを作ることにある。
大量に発表された脆弱性の中には攻撃者が利用しにくいものや、あまり危険でないものもある。その中から実際に攻撃に利用されたものを選び出してアクティブな脅威をあぶり出すことが目的だ。2015年1月7日時点で1200以上の脆弱性が登録されている。
KEVカタログには次のようなメリットがある。
(1)脆弱性に対応する際の優先順位付けができる
実際に悪用されたものだけを掲載しているため、どれを優先すべきか分かりやすい。
(2)脆弱性対応の加速
CISAによれば、KEVカタログに掲載された脆弱性は、掲載されていないものと比べて3.5倍の速度で対処されている。CISAはKEVカタログに掲載された脆弱性について米国連邦政府の文民機関(FCEB)に修正を義務付けており、FCEBに限ったとしても2022〜2023年に1200万件の脆弱性対応を実行できた。
(3)情報共有の促進
公共部門と民間部門の間での協力を促進し、サイバーセキュリティの強化に向けた共同の取り組みを推進できる。米国とその他の国の協力にも役立つ(キーマンズネット編集部)
CISAはこの脆弱性の悪用に関する警告の中で次のように記した(注3)。「この種の脆弱性は悪質な攻撃者が頻繁に利用する攻撃経路であり、政府や企業に重大なリスクをもたらす」
Power Pagesの脆弱性を悪用する活動の詳細は不明だ。CISAの発表では、この脆弱性がランサムウェア攻撃で使用されたかどうかは不明だとある。「Cybersecurity Dive」は悪用についての追加の情報を得るためにMicrosoftに連絡した。
ユーザー企業はログの確認が必須だ
Microsoftによるセキュリティ勧告には、次の記載がある。
「この脆弱性はすでにサービス内で緩和されており、影響を受けた全ての顧客に通知された。アップデートを公開しており、アクセス制御を回避してしまう問題に対処済みだ。影響を受けた顧客に対しては、潜在的な悪用に関する確認とクリーンアップの方法に関して案内した。この脆弱性に関する通知を当社から受け取っていない場合、影響はない」
同勧告では「CVE-2025-24989」の発見者として、Microsoftの従業員ラジ・クマール氏の名前が挙がっている。
サイバーセキュリティ事業を営むSOCRadarは次のように述べた(注4)。
「アクセス制御を回避してPower Pages内で権限を昇格させることで、攻撃者が機密データに不正にアクセスできるようになる恐れがある。Microsoftはすでにサービス内で修正して、影響を受けた顧客に個別に通知した。(だが、攻撃が実行済みで成功している可能性があるため)管理者は活動ログを確認し、不正な権限昇格がないかどうかを確認し、セキュリティ強化のために多要素認証を実施すべきだ」
出典:Microsoft Power Pages vulnerability exploited in the wild(Cybersecurity Dive)
注1:CVE-2025-24989 Detail(NIST)
注2:Microsoft Power Pages の特権昇格の脆弱性(Microsoft)
注3:CISA Adds One Known Exploited Vulnerability to Catalog(CISA)
注4:Microsoft Patches Power Pages Zero-Day (CVE-2025-24989) & Recent PAN-OS Flaw (CVE-2025-0111) Joins CISA KEV(SOCRadar)
© Industry Dive. All rights reserved.
関連記事
Microsoftが語る セキュリティ運用を軽くする2つの方策とは
企業に対するサイバー攻撃は質、量とも悪化する一方だ。セキュリティ人材が不足する中、運用負荷を下げつつ効果的な防御策がほしい。Microsoftが勧める2つの方法を紹介しよう。
Microsoftのデータ消失事件、事の真相とユーザーへの影響
Microsoftがユーザーに関するある重要データを失った。ユーザーにはどのような影響があるのだろうか。
PCをゼロデイ脆弱性だらけにする新手のWindows攻撃とは:793rd Lap
PC管理の中でも特に面倒なのが脆弱性管理だ。対処したはずの脆弱性が再現されてしまう新たな攻撃手口が発見された。