セキュリティ

SECURITY

公開：2025-05-23

MicrosoftがWindowsカーネルの整数型アンダーフロー脆弱性CVE-2025-29974を公開、複数OSバージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MicrosoftがWindowsカーネルの情報漏洩脆弱性CVE-2025-29974を公開
• 整数型アンダーフローによる隣接ネットワークへの情報漏洩
• Windows 10、Windows Server 2019、Windows 11など複数のOSバージョンに影響

MicrosoftによるWindowsカーネル脆弱性CVE-2025-29974の公開

Microsoft Corporationは2025年5月13日、Windowsカーネルの情報漏洩脆弱性CVE-2025-29974を公開した。この脆弱性は、整数型アンダーフロー（ラップアラウンド）によって発生し、不正な攻撃者が隣接ネットワークを通じて情報を漏洩させる可能性があるのだ。

CVSSスコアは5.7で深刻度はMEDIUMと評価されている。影響を受けるのはWindows 10の複数バージョン、Windows Server 2019、Windows Server 2022、Windows 11の複数バージョン、Windows Server 2025など、幅広いWindows製品である。具体的なバージョンは、Windows 10 Version 1809では10.0.17763.0から10.0.17763.7314より前のバージョン、Windows Server 2019では10.0.17763.0から10.0.17763.7314より前のバージョンなどが該当する。

Microsoftは、この脆弱性を修正するアップデートをリリースしており、影響を受けるユーザーは速やかにアップデートを適用する必要がある。この脆弱性は、攻撃者がシステムにアクセスする必要がないため、ネットワーク上の隣接システムからでも攻撃を受ける可能性がある点に注意が必要だ。

影響を受けるWindows製品とバージョン

整数型アンダーフロー脆弱性について

この脆弱性は、整数型アンダーフローという、プログラミングにおける数値計算上のエラーによって引き起こされる。整数型変数の値が最小値を下回ると、最大値からカウントアップする「ラップアラウンド」が発生するのだ。

• 整数型変数の範囲外アクセス
• 予期せぬ動作やクラッシュを引き起こす可能性
• 情報漏洩などのセキュリティリスクにつながる可能性

この脆弱性は、プログラムのロジックに依存するため、特定の条件下で発生する。そのため、全てのシステムで必ず発生するわけではないが、発生した場合、深刻なセキュリティ問題につながる可能性がある。

CVE-2025-29974に関する考察

今回の脆弱性対応は、Microsoftによる迅速な対応が評価できる。多くのWindows製品に影響を与える深刻な脆弱性であるため、早期の修正パッチの提供はユーザーにとって非常に重要だ。しかし、全てのユーザーが速やかにアップデートを適用するとは限らないため、情報漏洩のリスクは依然として残る可能性がある。

今後、同様の脆弱性が発見される可能性も否定できない。Microsoftは、開発プロセスにおけるセキュリティ対策の強化、特に整数型アンダーフローなどの数値計算に関するエラーチェックの徹底を図る必要があるだろう。また、ユーザーに対しても、定期的なアップデートの適用やセキュリティ意識の向上を促す啓発活動が重要となる。

さらに、この脆弱性のような、ネットワーク上の隣接システムからの攻撃にも対応できるような、より堅牢なセキュリティ対策の研究開発が求められる。攻撃手法の高度化に対抗するためには、継続的なセキュリティ対策の改善が不可欠だ。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-29974」. https://www.cve.org/CVERecord?id=CVE-2025-29974, (参照 25-05-23).
4380
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧