WSUSの深刻な脆弱性を悪用した攻撃が急拡大 2800超のサーバが危険に:セキュリティニュースアラート
WSUSに存在する脆弱性が悪用され、リモートコード実行が可能となる攻撃が発生している。PoC公開後に攻撃が拡大している中、多数のサーバが未修正のまま稼働しており、早急なパッチ適用とアクセス制御が求められている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティニュースメディア「Cybersecurity News」は2025年10月27日(現地時間、以下同)、Microsoftの「Microsoft Windows Server Update Services」(WSUS)に関する脆弱(ぜいじゃく)性(CVE-2025-59287)を悪用した攻撃が確認されていると報じた。
この欠陥は認証を必要とせずにリモートコード実行が可能になるもので、既に実際の攻撃活動が観測されている。セキュリティ研究者の分析では少なくとも2800件のWSUSインスタンスがインターネットに公開されており、その一部で攻撃が試みられているという。
CVSS 9.8のWSUSの脆弱性 2800超のサーバが危険にさらされる
CVE-2025-59287は、WSUSの更新承認処理に存在するデシリアライズの不備に起因する。WSUSは企業が「Windows」端末への更新を集中管理するための仕組みであり、クライアントから送信される暗号化済みデータをサーバ側で復号し処理する。その過程で「EncryptionHelper.DecryptData」メソッドが「BinaryFormatter」を使用してデータを復元する際、入力の型検証を実施しない設計となっていた。
攻撃者が細工した暗号化データを送信すると、任意のオブジェクトを復元させ、システム権限で任意のコードを実行できる。CVSS v3.1による深刻度評価は9.8で、Microsoftは「Critical」と分類している。
セキュリティ企業のHawkTrace Securityは2025年10月18日にこの脆弱性の詳細解析を公表し、PoC(概念実証)コードを公開した。公開されたPoCは「C#」で作成されており、AES-128-CBCで暗号化したシリアル化データをSOAPメッセージに組み込み、WSUSサーバに送信する手法を示している。サーバ側では復号されているデータを型検証せずに「BinaryFormatter」で復元するため、任意のコードが実行される仕組みとなる。このPoCが公開された直後から、攻撃者による探索および悪用の動きが急速に広がったとされる。
Cybersecurity Newsの報告によれば、セキュリティベンダーのShadowPeakが2025年10月25日に実施したスキャンでは世界で約2800のWSUSサーバがポート8530および8531を通じて外部からアクセス可能な状態で存在していた。これらのうち多くは北米や欧州の企業環境で稼働している。実際に攻撃を受けた事例として、米国の中規模金融企業において内部の「Active Directory」への侵入が発生し、同年10月23日に一時的な障害が生じたとされている。
攻撃者はPoCコードを基にWSUSに侵入し、取得した権限を使って悪意ある更新の配信や、ネットワーク内の他のシステムへの横展開を試みている。異常な更新承認ログやWSUSエンドポイントへの不審な通信が初期侵入の兆候として報告されている他、イベントビューアーではID 10016および20005の記録が観測される場合がある。
Microsoftは2025年10月15日にリリースした更新プログラムでこの脆弱性を修正しており、直ちにパッチを適用するよう呼びかけている。しかしShadowPeakの観測によれば、対策を実施済みのサーバは全体の約40%にとどまっており、依然として多数のシステムが未修正のまま稼働している。特にインターネットにHTTPまたはHTTPSポートを開放しているWSUS環境において、攻撃を受ける可能性が高いとされる。
専門家は更新サーバのアクセス制御を厳格に実施し、外部からの直接接続を遮断することを推奨している。Microsoftは防御策として、ファイアウォール設定によってWSUSポートへの通信を内部VPN経由のみに制限すること、最新の累積更新を適用すること、デシリアライズ異常を検知できるエンドポイント監視の導入を挙げている。加えて、Nessusなどのスキャンツールを利用した公開状態の確認も有効とされる。
HawkTrace Securityは、BinaryFormatterのような旧式のシリアライズ手法を使用するアプリケーションでは今後も同種の欠陥が発見される恐れがあると指摘している。更新配信を担うサーバは他のシステムと広範に通信する性質を持つため、攻撃者が侵入した場合の影響範囲は非常に大きい。内部ネットワーク内の更新基盤の監査を継続的に実施し、不要な外部通信経路を遮断することが求められる。
関連記事
アスクル、ランサムウェア感染の続報を公表 物流システムに深刻な影響
アスクルはランサムウェア感染により物流システムが停止し、受注・出荷業務を中断している。外部専門家を含む約100人規模で原因調査と復旧作業を進めている。個人情報流出は確認されていないが、引き続き調査が継続されている。
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。
NISTが禁じたパスワード慣行、いまだ多数派 要件に逆行する企業の現実
アークティックウルフジャパンは年次セキュリティレポートの2025年版を公開した。同調査では、多くの企業がNISTの定める強力なパスワードポリシーと逆行している実態や、日本企業特有のセキュリティホールの存在が明らかになった。
ホワイトハッカーが感心したフィッシング攻撃とは? 最新動向と対策を知る【動画あり】
フィッシングの進化はとどまることを知りません。最近は生成AIの普及によってより高度な攻撃も登場しています。『攻撃者の目』の第5回はフィッシングの最新傾向やホワイトハッカーが感心した攻撃手法、根本的な対策を考えます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- PowerShellにリモートコード実行の脆弱性 Windows広範囲に影響
- 「人力では25億人の熱狂を支えられない」 NBAがAI活用パートナーにAWSを選んだワケ
- AIエージェントの10大リスクとは? OWASPが最新リストを公開
- 「コーディングはAI任せ」でエンジニアは何をする? AWSが示す、開発の新たな“主戦場”
- Anthropic、「MCP」をLinux Foundation傘下AAIFへ寄付 “AIの健全な発展”に向けて
- 2025年は「破壊の年」 パロアルトネットワークスが「6つのセキュリティ予測」を公開
- Google Gemini Enterpriseにゼロクリックの脆弱性 深刻な情報漏えいのリスク
- 「従来の自動化ツールは硬直的で技術的」 新機能「Google Workspace Studio」はどれだけ手軽なのか
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- IPA「DX動向2025」の裏側 DX人材が“お手並み拝見状態”に陥る構造的な理由
ITmediaはアイティメディア株式会社の登録商標です。