セキュリティ

SECURITY

Learn

公開:

【CVE-2025-21389】Windows upnphost.dllにDoS脆弱性、広範なバージョンに影響を及ぼし早急な対応が必要に

text: XEXEQ編集部
(記事は執筆時の情報に基づいており、現在では異なる場合があります)

関連するタグ
目次
  1. 記事の要約
  2. Windows upnphost.dllの重大な脆弱性
  3. 影響を受けるWindowsバージョンまとめ
  4. サービス拒否攻撃について
  5. Windows upnphost.dll脆弱性に関する考察
  6. 参考サイト

記事の要約

  • Windows upnphost.dllにDoS脆弱性が発見
  • CVSSスコア7.5のハイリスク脆弱性として評価
  • Windows 10からWindows Server 2025まで広範な影響

Windows upnphost.dllの重大な脆弱性

Microsoftは2025年1月14日、Windows upnphost.dllにサービス拒否攻撃を引き起こす可能性のある重大な脆弱性を公開した。この脆弱性は【CVE-2025-21389】として識別されており、CVSSスコア7.5のハイリスク脆弱性として評価されている。[1]

脆弱性の影響を受けるのは、Windows 10 Version 1507からWindows Server 2025まで幅広いバージョンのWindowsプラットフォームとなっている。脆弱性の深刻度は高く、攻撃者は特権なしでリモートからシステムに影響を与えることが可能であり、ユーザーの操作も必要としない状況だ。

特にWindows Server 2019やWindows Server 2022など、企業の重要インフラを支えるサーバー環境にも影響が及ぶことから、早急なセキュリティパッチの適用が推奨される。この脆弱性は既に確認済みであり、組織的な対応が必要な状況となっている。

影響を受けるWindowsバージョンまとめ

プラットフォーム 影響を受けるバージョン 最新パッチ適用前のバージョン
Windows 10 10.0.17763.0以降 10.0.17763.6775未満
Windows 11 10.0.22621.0以降 10.0.22621.4751未満
Windows Server 2019 10.0.17763.0以降 10.0.17763.6775未満
Windows Server 2022 10.0.20348.0以降 10.0.20348.3091未満
Windows Server 2025 10.0.26100.0以降 10.0.26100.2894未満

サービス拒否攻撃について

サービス拒否攻撃とは、システムやネットワークに過度な負荷をかけることで、正常なサービス提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

  • システムリソースの枯渇を引き起こす攻撃手法
  • ネットワークやサービスの可用性を低下させる
  • 正規ユーザーのサービス利用を妨害する

Windows upnphost.dllの脆弱性は、CWE-400のリソース枯渇に分類される深刻な問題である。この脆弱性が悪用された場合、攻撃者は特権やユーザーの操作なしにシステムの可用性を損なうことが可能となり、組織の業務に重大な影響を及ぼす可能性が高い。

Windows upnphost.dll脆弱性に関する考察

Windows upnphost.dllの脆弱性が広範なバージョンに影響を及ぼすことから、企業のセキュリティ体制の見直しが急務となっている。特にWindows Serverを運用している組織では、システムの可用性が損なわれることによる業務への影響が甚大となる可能性が高く、パッチ管理の重要性が改めて浮き彫りとなった。

今後は同様の脆弱性に対する早期発見と迅速な対応が求められるため、セキュリティ監視体制の強化が必要不可欠となるだろう。特にUpnPのような基本的なネットワークサービスにおける脆弱性は、攻撃者にとって魅力的な標的となるため、継続的なセキュリティアップデートとモニタリングの実施が重要である。

また、クラウドサービスの普及により、サーバーの可用性がビジネスの継続性に直結する現代において、DoS脆弱性への対策はより一層重要性を増している。組織は包括的なセキュリティフレームワークの構築と、インシデント対応プランの整備を進める必要があるだろう。

参考サイト

  1. ^ CVE. 「CVE-2025-21389 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21389, (参照 25-01-21).
  2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム
「セキュリティ」に関するコラム一覧
「セキュリティ」に関するニュース
「セキュリティ」に関するニュース一覧
アーカイブ一覧
セキュリティに関する人気タグ
アクセス(8047)
脆弱性(7176)
認証(3796)
プライバシー(3120)
情報漏洩(3093)
個人情報(3084)
暗号(1520)
フィッシング(951)
バックアップ(851)
マルウェア(677)
セキュリティに関するカテゴリ
インターネット
最新記事

LEXCANEとFulmoがレディースベルト専門ECサイトMirandashawをリリース、豊富な品揃えと独自機能で商品選びが簡単に

アット東京がATBeX Watchを発表、ネットワークサービスの状況確認が容易に

auじぶん銀行が四国銀行へtotoサービスを提供開始、全国の提携金融機関が11行に拡大し地域スポーツ振興に貢献

シナネンホールディングスがユニウェブを導入、コーポレートサイトのアクセシビリティ機能が大幅に向上

ネイティブキャンプがオンラインアメリカ手話サービスをiOS/Androidアプリで提供開始、24時間365日の学習環境を実現

関連性が高いタグ
オンラインウェブサイトダウンロードリンクドメイン
コンピュータ
最新記事

ASUSがIntel Core N搭載のNUC 14 Essentialを発表、高性能と省電力性を両立した小型PCが登場

こんぷりんが京セラグループのマルチコピー機でサービス提供を開始、北海道のセイコーマートでも利用可能に

アット東京がATBeX Watchを発表、WEBブラウザでネットワーク監視が容易に

ヤマダデンキがTSUKUMOブランドのG-GEAR White Editionミニタワーモデルを発売、高性能と白色デザインを両立した新型ゲーミングPCが登場

NetAppと山口大学が衛星通信による災害対策システムを実証、1時間での仮設拠点構築とデータアクセスの実現に成功

関連性が高いタグ
システムデータプラットフォームネットワーククラウド
IoT
最新記事

シルバーアイがGanzin社のSol Glassesデモ体験を提供開始、軽量32gの小型ウェアラブル・アイトラッカーで視線分析が可能に

GMS、東海理化、DNPが社用車向けアルコール・インターロック機能の提供を開始、飲酒運転防止システムの実効性が向上

東海理化とGMS、DNPがアルコール・インターロック機能による飲酒運転防止システムを共同開発、社用車の安全運転管理が強化へ

DNP、GMS、東海理化が社用車向けアルコール・インターロック機能を開発、飲酒運転防止システムの提供開始へ

INFORICHがJR新宿駅にモバイルバッテリーシェアリングサービスChargeSPOTを設置、駅利用者の充電環境向上へ

関連性が高いタグ
ウェアラブルエッジコンピューティングスマートシティGPSスマートホーム
ソフトウェア
最新記事

MicrosoftがWindows 11 Build 22631.4825をリリース、タスクバーとファイル共有機能が大幅に改善

電通総研が新ソリューションBusinessSPECTRE XCを発表、SAP ERPユーザー向けにクラウドDWHを活用したデータ分析基盤を提供

Windows 11 Insider Preview Build 22635.4800がベータチャネルで公開、ウィジェット開発機能とPCスペック表示機能を追加

バッファローがAirStationアプリVer.3.4を公開、Wi-Fiルーターの設定がアプリ内で完結可能に

MicrosoftがWindows 11 2024 Updateの展開を拡大、IT部門管理外のHome/Proデバイスも自動更新の対象に

関連性が高いタグ
バージョンプログラムアプリケーションアップデートデータベース
ブログに戻る
ALL
トピックス
2025年4月25日
【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップロードの脆弱性が存在
2025年4月25日
【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンにバッファオーバーフロー脆弱性、リモート攻撃の可能性あり
2025年4月25日
【CVE-2025-3783】SourceCodester Web-based Pharmacy Management Systemに重大な脆弱性、無制限アップロードによる攻撃のリスクが発生
2025年4月25日
【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正アクセスのリスクが深刻に
2025年4月25日
【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5.5.2に重大な脆弱性、SQLインジェクション攻撃のリスクが発生
 「ITトピックス」
2025年 4月 25日
【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップロードの脆弱性が存在
2025年 4月 25日
【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンにバッファオーバーフロー脆弱性、リモート攻撃の可能性あり
2025年 4月 25日
【CVE-2025-3783】SourceCodester Web-based Pharmacy Management Systemに重大な脆弱性、無制限アップロードによる攻撃のリスクが発生
2025年 4月 25日
【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正アクセスのリスクが深刻に
2025年 4月 25日
【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5.5.2に重大な脆弱性、SQLインジェクション攻撃のリスクが発生
 最新のIT情報を見る
2025年4月25日
【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップロードの脆弱性が存在
2025年4月25日
【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンにバッファオーバーフロー脆弱性、リモート攻撃の可能性あり
2025年4月25日
【CVE-2025-3783】SourceCodester Web-based Pharmacy Management Systemに重大な脆弱性、無制限アップロードによる攻撃のリスクが発生
2025年4月25日
【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正アクセスのリスクが深刻に
2025年4月25日
【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5.5.2に重大な脆弱性、SQLインジェクション攻撃のリスクが発生
 「ITトピックス」
2025年 4月 25日
【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップロードの脆弱性が存在
2025年 4月 25日
【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンにバッファオーバーフロー脆弱性、リモート攻撃の可能性あり
2025年 4月 25日
【CVE-2025-3783】SourceCodester Web-based Pharmacy Management Systemに重大な脆弱性、無制限アップロードによる攻撃のリスクが発生
2025年 4月 25日
【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正アクセスのリスクが深刻に
2025年 4月 25日
【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5.5.2に重大な脆弱性、SQLインジェクション攻撃のリスクが発生
 最新のIT情報を見る

人気のタグTOP20

システム26805開発25117データ23372サービス21944効率21843ユーザー20322ポート13275リスク12544デジタル12308プロセス11814プラットフォーム10772分析10480製品10414設計10226アクセス10200バージョン9711ネットワーク9153脆弱性8848最適化8841アプリケーション8473

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。