【CVE-2025-21351】Windows Active Directory Domain Services APIにDoS脆弱性、複数のバージョンに影響
スポンサーリンク
記事の要約
- Windows Active Directory Domain Services APIにDoS脆弱性が発見
- 複数のWindows製品バージョンに影響する深刻な脆弱性
- CVSSスコア7.5のHigh評価で緊急対応が必要
スポンサーリンク
Windows Active Directory Domain Services APIの脆弱性が判明
Microsoftは2025年2月11日、Windows Active Directory Domain Services APIにDoS(Denial of Service)の脆弱性が存在することを公表した。この脆弱性はCVE-2025-21351として識別されており、CVSSスコアは7.5(High)と評価され、リソース消費の制御に関する重大な問題が指摘されている。[1]
影響を受けるプラットフォームは、32ビットシステム、x64ベースシステム、ARM64ベースシステムと広範囲に及んでおり、Windows 10やWindows 11の複数バージョン、Windows Server 2016から最新のWindows Server 2025まで多岐にわたる製品に影響を与える可能性がある。特に注目すべき点として、アクセスベクターがネットワーク経由であり、攻撃の複雑さが低いと評価されている。
この脆弱性に対する修正パッチは各バージョンごとに提供されており、Windows 10 Version 1809では10.0.17763.6893、Windows Server 2022では10.0.20348.3207など、製品ごとに適切なバージョンへのアップデートが推奨されている。セキュリティ対策の観点から、システム管理者は速やかなパッチ適用を検討する必要がある。
影響を受けるWindowsバージョンまとめ
| 製品名 | 影響を受けるバージョン範囲 | 修正バージョン |
|---|---|---|
| Windows 10 Version 1809 | 10.0.17763.0以降 | 10.0.17763.6893 |
| Windows Server 2019 | 10.0.17763.0以降 | 10.0.17763.6893 |
| Windows Server 2022 | 10.0.20348.0以降 | 10.0.20348.3207 |
| Windows 11 version 22H2 | 10.0.22621.0以降 | 10.0.22621.4890 |
| Windows Server 2025 | 10.0.26100.0以降 | 10.0.26100.3194 |
スポンサーリンク
DoS攻撃について
DoS(Denial of Service)攻撃とは、システムやネットワークのリソースを意図的に枯渇させ、本来のサービス提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。
- 大量のリクエストやトラフィックを発生させてシステムに負荷をかける
- 正規ユーザーのサービス利用を妨害する
- システムやネットワークの可用性を低下させる
今回のActive Directory Domain Services APIの脆弱性は、攻撃者がリソース消費を制御不能にできる問題であり、CVSSスコア7.5と高い深刻度が付けられている。この脆弱性は認証不要でネットワーク経由での攻撃が可能であり、組織のActive Directoryサービスの可用性に重大な影響を与える可能性がある。
Windows Active Directory Domain Services API脆弱性に関する考察
この脆弱性の特筆すべき点は、影響範囲の広さとアクセスの容易さにある。Windows ServerやWindows 10/11の広範なバージョンに影響を及ぼすことから、企業や組織のActive Directoryインフラストラクチャ全体がリスクにさらされる可能性が高い。また、認証が不要でネットワーク経由での攻撃が可能という特性は、攻撃者にとって非常に魅力的なターゲットとなるだろう。
対策としては、速やかなパッチ適用が最も効果的だが、大規模な組織では一斉アップデートが困難な場合もある。そのような状況では、ネットワークセグメンテーションの強化やアクセス制御の見直し、異常なリソース消費のモニタリング強化など、多層的な防御策の実装が重要となる。また、事業継続性の観点から、DoS攻撃を受けた際の影響を最小限に抑えるためのバックアップシステムや復旧計画の整備も検討すべきだ。
長期的な視点では、Active Directoryのアーキテクチャ自体の見直しやゼロトラストアーキテクチャの採用なども重要な検討課題となる。特にクラウド環境への移行が進む中、従来のActive Directory依存度を下げつつ、より柔軟で安全な認証基盤への移行を進めることが望ましい。この脆弱性を契機に、多くの組織がIDアクセス管理の在り方を見直すきっかけになるかもしれない。
参考サイト
- ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21351, (参照 25-03-05).
- Microsoft. https://www.microsoft.com/ja-jp
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2025-1262】WordPress用Advanced Google reCaptcha 1.27に脆弱性、未認証攻撃者によるCAPTCHAバイパスが可能に
- 【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0.18で修正完了
- 【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、重大な影響でアップデート推奨
- 【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性、バージョン2.7.12などで修正完了
- 【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に深刻な脆弱性、未認証でのファイル操作が可能に
- 【CVE-2024-13494】WordPress File Upload 4.25.2にCSRF脆弱性、管理者権限での改ざんの危険性
- 【CVE-2025-1643】Benner ModernaNetにクロスサイトリクエストフォージェリの脆弱性、バージョン1.1.1で修正完了
- 【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンでCSRF脆弱性が発見、早急なアップデートが必要に
- WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証での攻撃が可能に
- 【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXSS脆弱性、ベンダー対応の遅れが深刻な問題に
スポンサーリンク
