セキュリティ

SECURITY

公開：2025-04-07

【CVE-2025-25566】SoftEtherVPN 5.02.5187にメモリリークの脆弱性、DoS攻撃のリスクで早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• SoftEtherVPN 5.02.5187にメモリリーク脆弱性を発見
• UnixMemoryAlloc関数の脆弱性でDoS攻撃が可能に
• CVSSスコア5.6のミディアムリスクと評価

【CVE-2025-25566】SoftEtherVPN 5.02.5187のメモリリーク脆弱性

MITREは2025年3月12日、SoftEtherVPN 5.02.5187においてメモリリーク脆弱性を確認したと発表した。UnixMemoryAlloc関数に存在する脆弱性により、攻撃者がサービス拒否攻撃を引き起こす可能性があることが明らかになっている。この脆弱性はCVE-2025-25566として識別されている。^[1]

セキュリティ評価システムCVSSでは、この脆弱性の深刻度をスコア5.6のミディアムと評価している。攻撃元区分はネットワークであり、攻撃条件の複雑さは高く、特権は不要だが、ユーザーの関与も不要とされており、影響の範囲は変更されないことが確認されている。

CWEによる脆弱性タイプは、CWE-401（Missing Release of Memory after Effective Lifetime）に分類されている。SSVCの評価では、自動化可能な攻撃手法が存在し、技術的な影響は部分的であることが指摘されており、早急な対応が推奨される。

CVE-2025-25566の詳細情報まとめ

メモリリークについて

メモリリークとは、プログラムがメモリを確保した後に適切に解放しないことで、使用可能なメモリが徐々に減少していく問題のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムの実行時間とともにメモリ使用量が増加
• システムのパフォーマンスが徐々に低下
• 最終的にシステムの不安定化やクラッシュを引き起こす可能性

SoftEtherVPN 5.02.5187で発見された脆弱性は、UnixMemoryAlloc関数においてメモリの解放が適切に行われないことが原因である。この問題により、攻撃者は特定の操作を繰り返すことでメモリリークを引き起こし、システムリソースを枯渇させることが可能となっている。

SoftEtherVPN 5.02.5187の脆弱性に関する考察

今回発見された脆弱性はCVSSスコア5.6と中程度の評価ではあるが、VPNソフトウェアの性質上、企業のリモートアクセス環境に大きな影響を与える可能性がある。特にテレワークが一般化している現状では、VPNの可用性は業務継続性に直結するため、システム管理者は早急なアップデートの適用を検討する必要があるだろう。

UnixMemoryAlloc関数の脆弱性は、攻撃の自動化が可能という点で深刻度が増している。この種の脆弱性は、一度攻撃手法が確立されると、スクリプトによる自動化された攻撃に発展する可能性が高く、組織的なセキュリティ対策の強化が求められる。

今後は同様の脆弱性を防ぐため、メモリ管理機能の強化やセキュリティテストの拡充が期待される。特にオープンソースソフトウェアにおいては、コミュニティによるコードレビューの重要性が増すと考えられるため、開発者とセキュリティ研究者の連携強化が望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-25566, (参照 25-04-07).
886

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧