修正済みのWindows脆弱性を悪用 NTLMの欠陥を悪用する攻撃が急増中：セキュリティニュースアラート

Check Point Researchは、WindowsのNTLM認証に関連する脆弱性（CVE-2025-24054）が既に悪用されていると報告した。パッチ公開後わずか8日で複数のターゲットを狙った攻撃が確認されている。

[後藤大地，有限会社オングス]

　Check Point Software Technologiesの研究部門であるCheck Point Researchは2025年4月16日（現地時間、以下同）、「Windows」ネットワークで使用される認証プロトコルNTLM認証に使われるハッシュ値が外部に漏れる恐れのある脆弱性「CVE-2025-24054」が実際に悪用されていると発表した。

　同脆弱性はWindowsのエクスプローラーでZIPファイルを展開する際に、細工した「.library-ms」ファイルが含まれていると、ユーザーのNTLMハッシュ（NTLMv2-SSP）が自動的に外部に送信される可能性があるというものだ。Microsoftは2025年3月11日にこの問題に対応するパッチを公開したが、同年3月19日には既にこの脆弱性を悪用した攻撃が確認されている。

修正からわずか8日で攻撃開始　Windowsの脆弱性を突いた脅威キャンペーン

　Check Point Researchの報告によると、2025年3月20〜21日にかけて、ポーランドおよびルーマニアの政府機関や民間企業を標的としたキャンペーンが展開された。攻撃者は、電子メールを使って「Dropbox」のリンク経由でアーカイブファイルを配布した。その中に含まれていた「.library-ms」ファイルを操作すると、自動的に外部の悪意あるSMBサーバに認証情報が送信されてしまうという。

　この攻撃で使用したファイルの中には、以前にウクライナを狙った攻撃で利用したことがある「CVE-2024-43451」と同様の手法も含まれていた。また、2025年3月25日以降にはZIP形式ではない「.library-ms」ファイルをそのまま送信する手口も観測されている。ユーザーがファイルを明示的に開かなくてもエクスプローラーで表示しようとしたり、右クリックなどの軽微な操作をしたりしただけでNTLMハッシュが外部に漏えいする恐れがある。

　NTLMは、特にNTLMv2では暗号強度が改善されているものの、ハッシュが漏えいすればリレー攻撃やブルートフォース攻撃によって認証を突破されるリスクがある。

　Check Point Researchは2025年3月11日のパッチ公開後わずか8日間で複数の攻撃キャンペーンが展開されていると報告した。悪意あるSMBサーバはロシアやブルガリア、オーストラリア、オランダ、トルコなどに設置されており、被害が国際的に広がる可能性も指摘している。

　この事例はソフトウェアの脆弱性を修正した後でも、更新が遅れたシステムが標的となる危険性を示している。攻撃者は迅速に脆弱性を悪用しようとするため、セキュリティパッチの適用を後回しにすることは大きなリスクとなる。特にネットワーク上で認証にNTLMを使用している場合、早急な更新と併せてSMB署名の有効化やNTLMリレー対策などの追加的なセキュリティ対策も検討することが求められる。