セキュリティ

SECURITY

公開：2025-01-29

【CVE-2025-21243】Windows電話サービスに重大な脆弱性が発見、Windows 10からWindows 11まで広範な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Windowsの電話サービスに重大な脆弱性が発見
• Windows 10からWindows 11まで広範な影響
• リモートでコード実行が可能な深刻な脆弱性

Windowsの電話サービスにリモートコード実行の脆弱性が発見

Microsoftは2025年1月14日、Windows電話サービスにリモートでコードを実行可能な重大な脆弱性【CVE-2025-21243】を公開した。この脆弱性はCVSS v3.1で深刻度が8.8と高く評価され、Windows 10からWindows 11までの広範なバージョンに影響を及ぼすことが判明している。^[1]

影響を受けるシステムには、32ビット、64ビット、ARM64ベースのシステムが含まれており、Windows Server 2008からWindows Server 2025まで、サーバー製品にも広く影響が及ぶことが確認された。特にWindows 11 version 22H2、23H2、24H2といった最新バージョンも対象となっているため、早急な対応が必要となっている。

この脆弱性は整数オーバーフローまたはラップアラウンド（CWE-190）に分類され、攻撃者によって悪用される可能性が高い状態にある。攻撃の成功には利用者の操作が必要となるものの、特別な権限は不要であり、攻撃の複雑さも低く評価されているため、システム管理者による迅速なセキュリティパッチの適用が推奨される。

影響を受けるWindowsバージョンまとめ

リモートコード実行について

リモートコード実行とは、攻撃者が標的のシステムに物理的にアクセスすることなく、ネットワークを介して悪意のあるコードを実行できる脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• ネットワーク経由で攻撃が可能
• システムの権限を不正に取得する可能性
• マルウェアの実行やデータ漏洩のリスク

今回発見された脆弱性【CVE-2025-21243】は、Windows電話サービスに関連するリモートコード実行の脆弱性であり、CVSS v3.1で8.8という高い深刻度が評価されている。攻撃の成功には利用者の操作が必要となるものの、特別な権限は不要であり、攻撃の複雑さも低く評価されているため、システム管理者による迅速なセキュリティパッチの適用が重要である。

Windows電話サービスの脆弱性に関する考察

Windows電話サービスの脆弱性は、そのインパクトの大きさと影響範囲の広さから、組織のセキュリティ体制の見直しが急務となっている。特にWindows 10からWindows 11まで、さらにはWindows Serverの複数バージョンに影響が及ぶことから、企業や組織のIT資産管理の重要性が改めて浮き彫りとなっているだろう。

今後の課題として、脆弱性の修正パッチの適用に伴う業務システムへの影響評価や、計画的なパッチ適用のスケジュール管理が挙げられる。特に多くのシステムやアプリケーションが複雑に連携する現代のIT環境において、パッチ適用による予期せぬ影響を最小限に抑えることが重要となってくるだろう。

また、長期的な対策として、セキュリティインシデントの早期発見と迅速な対応を可能にする体制づくりが必要不可欠だ。組織内のセキュリティ意識の向上や、定期的な脆弱性診断の実施など、予防的なアプローチを強化することで、セキュリティリスクの低減を図るべきである。

参考サイト

1. ^ CVE. 「CVE-2025-21243 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21243, (参照 25-01-29).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧