セキュリティ

SECURITY

公開：2025-02-18

【CVE-2025-21391】Windowsストレージに権限昇格の脆弱性、Windows 10からServer 2025まで広範な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WindowsストレージにEoP脆弱性が発見
• CVE-2025-21391として識別される新規脆弱性
• Windows 10/11の複数バージョンに影響

Windowsストレージの権限昇格の脆弱性

Microsoftは2025年2月11日、Windowsストレージに関する権限昇格の脆弱性（CVE-2025-21391）を公開した。この脆弱性はCVSS v3.1で深刻度が7.1（High）と評価され、不適切なリンク解決による権限昇格の問題として分類されている。^[1]

影響を受けるバージョンには、Windows 10の複数のバージョン（1507、1607、1809、21H2、22H2）およびWindows 11（22H2、22H3、23H2、24H2）が含まれており、サーバー製品ではWindows Server 2016、2019、2022、2025が対象となっている。特にサーバー製品ではCore installationも影響を受けることが判明した。

この脆弱性は攻撃者がローカルシステムへのアクセス権を持っていることが前提となるが、攻撃の複雑さは低く評価されている。攻撃が成功した場合、システムの整合性と可用性に高い影響を及ぼす可能性があり、早急な対応が求められる状況となっている。

影響を受けるWindowsバージョンまとめ

権限昇格について

権限昇格とは、システム上で通常よりも高い権限を不正に取得することを指す脆弱性の一種であり、主な特徴として以下のような点が挙げられる。

• 通常の権限では実行できない操作が可能になる
• システム管理者レベルの権限を不正に取得できる
• 重要なシステムファイルへのアクセスが可能になる

WindowsストレージにおけるこのCVE-2025-21391の脆弱性は、不適切なリンク解決の問題に分類されており、CWE-59として識別されている。この種の脆弱性は、システム上のファイルアクセスに関連する処理で発生し、攻撃者がローカルシステム上で権限を昇格させる可能性がある重大な問題となっている。

Windowsストレージの権限昇格脆弱性に関する考察

この脆弱性がWindows 10の古いバージョンから最新のWindows 11、さらにはサーバー製品まで広範囲に影響を及ぼしている点は、特に深刻な問題として捉える必要がある。Microsoftの対応は迅速であり、脆弱性の公開から3日以内に更新情報を提供している点は評価できるが、各組織における迅速なパッチ適用が課題となるだろう。

今後の課題として、Windows OSの基盤機能であるストレージシステムのセキュリティ設計の見直しが必要になると考えられる。特にファイルシステムのアクセス制御メカニズムの強化と、権限管理システムの改善が求められており、Microsoftには包括的なセキュリティ対策の実装が期待される。

また、この種の脆弱性に対する早期発見・対応の仕組みづくりも重要な課題となっている。セキュリティ研究者とMicrosoftの協力体制をより強化し、脆弱性の発見から修正までのプロセスを効率化することで、同様の問題の再発防止につながるものと考えられる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21391, (参照 25-02-18).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧