MicrosoftがWindows RRASサービスの脆弱性CVE-2025-29830を公開、複数OSに影響
スポンサーリンク
記事の要約
- MicrosoftがWindowsのRRASサービスの脆弱性CVE-2025-29830を公開
- 未初期化リソースの使用による情報漏洩の脆弱性
- Windows 10、Windows Server 2019、Windows Server 2022など複数のOSが影響を受ける
スポンサーリンク
Windows Routing And Remote Access Service (RRAS) 情報漏洩脆弱性
Microsoftは2025年5月13日に、Windows Routing and Remote Access Service (RRAS) における情報漏洩の脆弱性CVE-2025-29830を公開した。この脆弱性は、未初期化リソースの使用によって発生し、攻撃者によるネットワーク経由での情報漏洩を許してしまうのだ。
この脆弱性は、CVSSスコアが6.5(中程度)と評価されており、深刻な影響を与える可能性がある。Microsoftは既に修正プログラムをリリースしており、影響を受けるユーザーは速やかにアップデートを行う必要がある。早急な対応が、情報漏洩リスクの軽減に繋がるだろう。
影響を受けるのはWindows 10 Version 1809、Windows Server 2019、Windows Server 2019 (Server Core installation)、Windows Server 2022、Windows 10 Version 21H2、Windows 11 version 22H2、Windows 10 Version 22H2、Windows Server 2025 (Server Core installation)、Windows 11 version 22H3、Windows 11 Version 23H2、Windows Server 2022, 23H2 Edition (Server Core installation)、Windows 11 Version 24H2、Windows Server 2025、Windows 10 Version 1507、Windows 10 Version 1607、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server 2008 Service Pack 2、Windows Server 2008 Service Pack 2 (Server Core installation)、Windows Server 2008 Service Pack 2、Windows Server 2008 R2 Service Pack 1、Windows Server 2008 R2 Service Pack 1 (Server Core installation)、Windows Server 2012、Windows Server 2012 (Server Core installation)、Windows Server 2012 R2、Windows Server 2012 R2 (Server Core installation)など、複数のWindows製品である。
影響を受ける製品とバージョン
| 製品名 | 影響を受けるバージョン | 修正済みバージョン |
|---|---|---|
| Windows 10 Version 1809 | 10.0.17763.0以前 | 10.0.17763.7314以降 |
| Windows Server 2019 | 10.0.17763.0以前 | 10.0.17763.7314以降 |
| Windows Server 2019 (Server Core installation) | 10.0.17763.0以前 | 10.0.17763.7314以降 |
| Windows Server 2022 | 10.0.20348.0以前 | 10.0.20348.3692以降 |
| Windows 10 Version 21H2 | 10.0.19044.0以前 | 10.0.19044.5854以降 |
| Windows 11 version 22H2 | 10.0.22621.0以前 | 10.0.22621.5335以降 |
| Windows 10 Version 22H2 | 10.0.19045.0以前 | 10.0.19045.5854以降 |
| Windows Server 2025 (Server Core installation) | 10.0.26100.0以前 | 10.0.26100.4061以降 |
| Windows 11 version 22H3 | 10.0.22631.0以前 | 10.0.22631.5335以降 |
| Windows 11 Version 23H2 | 10.0.22631.0以前 | 10.0.22631.5335以降 |
| Windows Server 2022, 23H2 Edition (Server Core installation) | 10.0.25398.0以前 | 10.0.25398.1611以降 |
| Windows 11 Version 24H2 | 10.0.26100.0以前 | 10.0.26100.4061以降 |
| Windows Server 2025 | 10.0.26100.0以前 | 10.0.26100.4061以降 |
| Windows 10 Version 1507 | 10.0.10240.0以前 | 10.0.10240.21014以降 |
| Windows 10 Version 1607 | 10.0.14393.0以前 | 10.0.14393.8066以降 |
| Windows Server 2016 | 10.0.14393.0以前 | 10.0.14393.8066以降 |
| Windows Server 2016 (Server Core installation) | 10.0.14393.0以前 | 10.0.14393.8066以降 |
| Windows Server 2008 Service Pack 2 | 6.0.6003.0以前 | 6.0.6003.23279以降 |
| Windows Server 2008 Service Pack 2 (Server Core installation) | 6.0.6003.0以前 | 6.0.6003.23279以降 |
| Windows Server 2008 R2 Service Pack 1 | 6.1.7601.0以前 | 6.1.7601.27729以降 |
| Windows Server 2008 R2 Service Pack 1 (Server Core installation) | 6.1.7601.0以前 | 6.1.7601.27729以降 |
| Windows Server 2012 | 6.2.9200.0以前 | 6.2.9200.25475以降 |
| Windows Server 2012 (Server Core installation) | 6.2.9200.0以前 | 6.2.9200.25475以降 |
| Windows Server 2012 R2 | 6.3.9600.0以前 | 6.3.9600.22577以降 |
| Windows Server 2012 R2 (Server Core installation) | 6.3.9600.0以前 | 6.3.9600.22577以降 |
スポンサーリンク
CWE-908: 未初期化リソースの使用について
この脆弱性は、CWE-908「未初期化リソースの使用」に分類される。これは、プログラムが初期化されていないメモリ領域にアクセスすることで発生する一般的な脆弱性だ。
- 予期せぬ動作やクラッシュを引き起こす
- 機密情報の漏洩につながる可能性がある
- 攻撃者によるシステムの乗っ取りを許す可能性がある
未初期化リソースの使用は、プログラムの信頼性を著しく低下させるため、開発段階での徹底的なチェックが不可欠である。
CVE-2025-29830に関する考察
今回の脆弱性対応は、Microsoftによる迅速な対応が評価できる。しかし、多くのWindows製品に影響を与える広範囲な脆弱性であるため、全てのユーザーが速やかにアップデートを実施する必要があるだろう。アップデートの遅れは、情報漏洩などの深刻なリスクにつながる可能性がある。
今後、同様の脆弱性が発見される可能性も否定できない。そのため、Microsoftは継続的なセキュリティ監査と迅速なパッチ提供体制の維持が重要となる。ユーザー側も、定期的なOSアップデートとセキュリティソフトの導入を怠らないようにする必要があるだろう。
さらに、開発者向けには、未初期化リソースの使用を防ぐためのコーディング規約やツール、教育プログラムの提供が求められる。セキュリティ意識の向上と、安全なソフトウェア開発のための体制強化が、今後の課題となるだろう。
参考サイト
- ^ CVE. 「CVE Record: CVE-2025-29830」. https://www.cve.org/CVERecord?id=CVE-2025-29830, (参照 25-05-23). 5236
- Microsoft. https://www.microsoft.com/ja-jp
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 10X、小売DX支援プラットフォームStailerの新戦略発表、AI活用で生産性向上目指す
- Adobe ColdFusionの深刻な脆弱性CVE-2025-43562が公開、OSコマンドインジェクションへの対策が急務
- Adobe ColdFusionのパス・トラバーサル脆弱性CVE-2025-43566に関する情報公開
- Adobe ColdFusionの深刻な脆弱性CVE-2025-43559が公開、迅速なアップデートが必要
- Adobe ColdFusionの深刻な脆弱性CVE-2025-43560が公開、早急なアップデートが必要
- Adobe ColdFusionの脆弱性CVE-2025-43561が公開、不正認証による任意コード実行の可能性
- Adobe ColdFusionの深刻な脆弱性CVE-2025-43563が公開、迅速なアップデートが必要
- Adobe ColdFusionの脆弱性CVE-2025-43564が公開、不正アクセス制御によるファイルシステム読み取りが可能に
- Adobe ColdFusionの脆弱性CVE-2025-43565が公開、不正認証による任意コード実行リスク
- Adobe Connect 12.8以前のバージョンにおける深刻なXSS脆弱性CVE-2025-43567が公開
スポンサーリンク
