セキュリティ

SECURITY

公開：2025-01-30

【CVE-2025-21275】Windows App Package Installerに権限昇格の脆弱性、複数のWindowsバージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Windows App Package Installerに権限昇格の脆弱性
• Windows Server 2022など複数のバージョンが影響対象
• CVSSスコア7.8のHigh深刻度の脆弱性

Windows App Package Installerの権限昇格の脆弱性が発見

Microsoftは2025年1月14日、Windows App Package Installerに存在する権限昇格の脆弱性【CVE-2025-21275】を公開した。この脆弱性はCWE-285の不適切な認証に分類され、CVSSスコア7.8のHigh深刻度と評価されている。攻撃の成功には低い権限が必要だが、ユーザーの操作は不要とされている。^[1]

影響を受けるプラットフォームには、Windows Server 2022のx64ベースシステムやWindows 10 Version 21H2の32ビット、ARM64、x64ベースシステムなど、複数のWindowsバージョンが含まれている。攻撃者は特権の昇格を行い、システムへの完全なアクセス権を取得する可能性があるため、早急な対応が求められるだろう。

この脆弱性の影響範囲は広く、Windows 11の最新バージョンであるVersion 24H2やWindows Server 2025も対象に含まれている。MicrosoftはこれらのOSバージョンに対して、それぞれ特定のビルド番号までのアップデートを提供しており、システム管理者は速やかにパッチの適用を検討する必要がある。

影響を受けるWindowsシステムとバージョンまとめ

権限昇格について

権限昇格とは、システム内で通常よりも高い権限を不正に取得することを指す。主な特徴として、以下のような点が挙げられる。

• システム管理者レベルの特権を不正に取得
• 重要なシステムリソースへの不正アクセスが可能
• セキュリティ制御のバイパスにつながる可能性

Windows App Package Installerにおける権限昇格の脆弱性は、CWEによって不適切な認可（CWE-285）に分類されている。CVSSスコアが7.8と高く評価されているため、攻撃者が成功した場合にシステムの機密性、完全性、可用性に深刻な影響を与える可能性が高いと判断されている。

Windows App Package Installerの脆弱性に関する考察

Windows App Package Installerの脆弱性は、多くのWindowsバージョンに影響を与える深刻な問題として認識されている。特にWindows Server 2022やWindows 11など、企業環境で広く使用されているシステムが影響を受けることから、組織のセキュリティ管理者は優先度の高い対応を迫られることになるだろう。

今後の課題として、パッチ適用後の互換性問題や、アプリケーションのインストールプロセスへの影響を慎重に評価する必要がある。組織は包括的なテスト計画を立て、重要なビジネスアプリケーションの動作確認を行いながら、段階的なパッチ適用を検討することが望ましいだろう。

長期的な対策として、Microsoftはアプリケーションインストーラーのセキュリティアーキテクチャを見直し、より堅牢な権限管理メカニズムを実装することが期待される。特に、最小権限の原則に基づいたインストールプロセスの設計と、インストーラーの動作の監査機能の強化が重要になるだろう。

参考サイト

1. ^ CVE. 「CVE-2025-21275 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21275, (参照 25-01-30).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧