セキュリティ

SECURITY

公開：2025-04-23

【CVE-2025-21579】MySQLの複数バージョンでDOS脆弱性が発見、高権限攻撃者によるシステムクラッシュの危険性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MySQL Serverの複数バージョンでDOS脆弱性が発見
• 高権限の攻撃者によるネットワークアクセスでシステムがクラッシュ
• 深刻度はCVSS 3.1で4.9（中程度）と評価

MySQL Server 8.0-9.2のDOS脆弱性

Oracle社は2025年4月15日、MySQL Serverの複数バージョンにおいて深刻な脆弱性（CVE-2025-21579）を公開した。この脆弱性は8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0のバージョンに影響を与え、高権限の攻撃者がネットワークを介して複数のプロトコルからアクセスすることでMySQLサーバーを危険な状態に陥れる可能性があることが判明している。^[1]

この脆弱性が悪用された場合、攻撃者はMySQLサーバーを停止状態にしたり、継続的にクラッシュさせたりすることが可能となる。CVSSスコアは4.9（中程度）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされているものの、攻撃には高い権限が必要とされ、ユーザーの操作は不要とされている。

CISAによる評価では、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性はないとされている。またCWEでは「重要なリソースに対する不適切な権限割り当て（CWE-732）」として分類されており、セキュリティ上の重要な懸念事項として認識されている。

MySQL Serverの脆弱性情報まとめ

サービス停止攻撃（DOS）について

サービス停止攻撃（DOS）とは、システムやネットワークのリソースを意図的に枯渇させ、本来のサービスを利用できない状態にする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムやサービスの可用性を低下させる攻撃手法
• 正常なユーザーのサービス利用を妨害する
• システムの再起動やリソース追加で一時的に回復可能

今回のMySQL Serverの脆弱性では、高権限の攻撃者がネットワークを介してサーバーにアクセスし、システムを継続的にクラッシュさせることが可能となっている。この種の攻撃は、企業のデータベース運用に重大な支障をきたす可能性があり、早急なパッチ適用による対策が推奨される。

MySQL Serverの脆弱性に関する考察

MySQLは世界中で広く使用されているデータベース管理システムであり、今回の脆弱性の影響範囲は極めて広いと考えられる。特に高権限アカウントが必要とはいえ、攻撃の複雑さが低いという点は、内部犯行や認証情報の漏洩時のリスクを高めており、運用管理者は権限管理の見直しと共にパッチ適用の優先度を検討する必要があるだろう。

今後の課題として、バージョン管理の重要性が挙げられる。MySQL 8.0から9.2までの広範なバージョンで脆弱性が確認されており、適切なバージョン管理とアップデート体制の構築が不可欠となってくる。組織内でのセキュリティポリシーの見直しと、定期的な脆弱性診断の実施が望まれるだろう。

MySQLの開発チームには、今後より厳格なセキュリティレビューとテストの実施が期待される。特に権限管理に関する部分は、重要なセキュリティ機能であり、新バージョンリリース時の品質確保が重要となる。継続的なセキュリティ強化と、脆弱性発見時の迅速な対応体制の維持が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-21579」. https://www.cve.org/CVERecord?id=CVE-2025-21579, (参照 25-04-23).
1501
2. Oracle. https://www.oracle.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧