【CVE-2025-21378】WindowsのCSC Service権限昇格の脆弱性が深刻、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年01月のアーカイブ一覧
【2025年01月】セキュリティに関するアーカイブ一覧
【2025年01月20日】セキュリティに関するアーカイブ一覧
【CVE-2025-21378】WindowsのCSC Service権限昇格の脆弱性が深刻、複数バージョンに影響

記事の要約

MicrosoftがWindows CSC Serviceの権限昇格の脆弱性を報告
多数のWindowsバージョンに影響を及ぼすCVE-2025-21378を公開
CVSSスコア7.8の深刻度の高い脆弱性として分類

Windows CSC Serviceの権限昇格の脆弱性

Microsoftは2025年1月14日、Windows CSC Serviceにおける権限昇格の脆弱性【CVE-2025-21378】を公開した。この脆弱性はCVSSスコア7.8の深刻度の高い脆弱性として分類され、ヒープベースのバッファオーバーフロー（CWE-122）に該当する問題が確認されている。^[1]

影響を受けるバージョンはWindows 10の複数のバージョン、Windows 11の各バージョン、Windows Server 2012からWindows Server 2025まで多岐にわたる。脆弱性が悪用された場合、攻撃者は標的システム上で権限を昇格させ、機密情報へのアクセスや重要なシステム設定の変更が可能になる可能性があるだろう。

Microsoftは既に修正プログラムを提供しており、Windows 10 Version 1809ではバージョン10.0.17763.6775、Windows Server 2022では10.0.20348.3091など、各バージョンに応じた更新プログラムが用意されている。システム管理者は早急に適用することが推奨される。

影響を受けるWindowsバージョンまとめ

製品名	影響を受けるバージョン	修正バージョン
Windows 10 Version 1809	10.0.17763.0以降	10.0.17763.6775
Windows Server 2022	10.0.20348.0以降	10.0.20348.3091
Windows 11 version 22H2	10.0.22621.0以降	10.0.22621.4751
Windows Server 2025	10.0.26100.0以降	10.0.26100.2894

権限昇格の脆弱性について

権限昇格の脆弱性とは、システム上で通常よりも高い権限を不正に取得できる問題のことを指す。主な特徴として、以下のような点が挙げられる。

一般ユーザーが管理者権限を取得可能になる
システムの重要な設定や機能への不正アクセスが可能になる
機密情報の漏洩やシステムの改ざんにつながる可能性がある

今回の脆弱性【CVE-2025-21378】はWindows CSC Serviceに影響を与えるヒープベースのバッファオーバーフローに起因している。CVSSスコアが7.8と高く評価されており、攻撃の容易性と影響範囲の広さから、迅速な対応が必要とされる脆弱性である。

Windows CSC Serviceの脆弱性に関する考察

Windows CSC Serviceの権限昇格の脆弱性が広範なWindowsバージョンに影響を与えていることは、企業のセキュリティ管理において重要な課題となっている。特にWindows Server製品への影響は、業務システムやクラウドサービスの運用に支障をきたす可能性があるため、システム管理者は優先度の高い対応を迫られるだろう。

今後はサプライチェーン攻撃などの複雑な攻撃手法と組み合わせた悪用のリスクが懸念される。対策として、修正プログラムの適用に加えて、アクセス制御の強化や監視体制の見直しなど、多層的な防御戦略の構築が重要になってくるだろう。

また、長期的な視点では、Windowsの基幹サービスにおけるセキュリティ設計の見直しも必要となる。特にレガシーシステムとの互換性を維持しながら、最新のセキュリティ要件に対応することが求められる。