セキュリティ

SECURITY

公開：2025-01-30

【CVE-2025-21207】WindowsのCdpsvcにDoS脆弱性が発見、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Windowsの各バージョンでCdpsvcの脆弱性が発見
• CVSSスコア7.5のDoS脆弱性として評価
• 影響を受けるバージョンに対するパッチを公開

Windows Connected Devices Platform Serviceの深刻なDoS脆弱性

MicrosoftはWindows Connected Devices Platform Service（Cdpsvc）において、サービス拒否（DoS）の脆弱性【CVE-2025-21207】を2025年1月14日に公開した。この脆弱性はCVSSスコア7.5の高リスクと評価され、攻撃の成功にはユーザーの操作が不要であることから、早急な対応が必要とされている。^[1]

影響を受けるシステムは、Windows 10 Version 1809からWindows Server 2025まで広範にわたり、32-bit、x64-based、ARM64-basedの各プラットフォームに及んでいる。Windows 10 Version 1809の場合はバージョン10.0.17763.0から10.0.17763.6775未満が対象となり、Windows Server 2025ではバージョン10.0.26100.0から10.0.26100.2894未満が影響を受けるとされている。

この脆弱性は共通脆弱性評価システムCVSS v3.1において、攻撃元区分はネットワーク経由、攻撃条件の複雑さは低、必要な特権レベルは不要と評価されている。またCWE-400（制御されていないリソース消費）に分類され、システムの可用性に重大な影響を及ぼす可能性があるため、システム管理者による迅速な対応が推奨される。

影響を受けるWindows製品とバージョン

サービス拒否攻撃について

サービス拒否（DoS）攻撃とは、システムやネットワークのリソースを意図的に枯渇させ、本来のサービスを利用できない状態にする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムやネットワークの可用性を低下させる攻撃手法
• 大量のリクエストやトラフィックを発生させてリソースを消費
• 正規ユーザーのサービス利用を妨害する目的で実行される

Windows Connected Devices Platform Serviceの脆弱性は、CWE-400（制御されていないリソース消費）に分類され、システムのリソースを過剰に消費させる可能性がある。この脆弱性は認証を必要とせずネットワーク経由で攻撃可能であり、攻撃の複雑さも低いため、早急なパッチ適用による対策が推奨されている。

Windows Connected Devices Platform Service脆弱性に関する考察

Windows Connected Devices Platform Serviceの脆弱性対策として、Microsoftによるパッチの迅速な提供は評価に値する。この脆弱性はCVSSスコア7.5と高い深刻度を持ち、認証不要でネットワーク経由の攻撃が可能なため、組織のセキュリティ管理者は直ちにパッチ適用を検討する必要があるだろう。

今後の課題として、Windows環境全体のセキュリティ強化が挙げられる。特にWindows 10からWindows Server 2025まで広範なバージョンに影響を及ぼす脆弱性であることから、バージョン管理とパッチ適用の自動化による効率的な運用体制の構築が求められるだろう。

また、Connected Devices Platform Serviceの重要性を考慮すると、今後はより強固なセキュリティ設計が期待される。特にリソース制御の観点から、サービスの可用性を維持しつつ、不正なリソース消費を防ぐメカニズムの実装が望まれる。

参考サイト

1. ^ CVE. 「CVE-2025-21207 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21207, (参照 25-01-30).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧