11 Nation-State Hackers Exploit Unpatched Windows Flaw Since 2017
2025/03/19 HackRead — Windows で発見された新たなゼロデイ脆弱性だが、北朝鮮/中国/イラン/ロシアなどの、少なくとも 11 の APT グループにより、何年も前から積極的に悪用されているものだという。広範な攻撃の証拠は 2017年にまで遡るが、Microsoft はセキュリティ・パッチの発行を拒否し、サービス基準を満たしていないとしている。
この、Trend Micro が ZDI-CAN-25373 として追跡している脆弱性は、ショートカット (.lnk) ファイル内に隠されたコマンドにより、Windows システム上での悪意のコード実行を許すものだ。Zero Day Initiative バグ報奨金プログラムを通じて、Trend Micro が脆弱性の証拠を提出したが。Microsoft は、その深刻度を Low に分類し、即時のセキュリティ更新では対処しないと発表した。なお、この欠陥には、CVE 識別子が割り当てられていない。
Trend Micro の研究者たちは、「ZDI-CAN-25373 を悪用する Shell Link (.lnk) サンプルが、1,000 件近く発見された。ただし、悪用試行の総数は、それより遥かに多い可能性がある」と、ブログ投稿で述べている。
この脆弱性の仕組み
この脆弱性は、Windows におけるショートカット・ファイルでの、情報表示の方法に関連するものである。具体的に言うと、問題のあるファイルを右クリックして、プロパティを表示しても、そのファイルに隠された悪意のあるコマンドを、Windows は表示できない。
このトリックは、ショートカット・ファイルのコマンド・ライン引数に、大量の空白文字などを挿入することで実現される。これらの、ユーザーの目には見えない文字により、Windows インターフェイスに表示範囲を超える位置へと、悪意のコマンドは押し出されるため、無害なファイルだとみなされてしまう。
さらに懸念されるのは、北朝鮮の APT である Earth Manticore (APT37)/Earth Imp (Konni) などが、最大で 70 MB に達する、きわめて大容量のショートカット・ファイルを作成し、さらに検出を困難にしていることだ。この手法は十分に効果的であることが証明されており、さまざまな APT グループにより、何年もにわたって採用されてきた。
国家に支援されるハッカーが積極的に悪用
Trend Micro の分析によると、この脆弱性を悪用する攻撃者の約半数が北朝鮮にいて、残りのグループはイラン/ロシア/中国に由来することが判明している。これらの攻撃の、約 70% はスパイ活動と情報窃盗に焦点を当て、その他は金銭的利益を目的としているという。
研究者たちによると、以下のような、さまざまな分野の組織が高リスクにさらされているという:
- 政府/行政機関
- エネルギー会社
- 金融機関
- 軍事/防衛
- 通信プロバイダー
被害者の大半は北米で検出されているが、ヨーロッパ/アジア/南米/オーストラリアでの攻撃も注目されている。したがって、このような深刻な脆弱性に対処していない Microsoft に対して、業界のリーダーたちが批判を展開している。
マサチューセッツ州バーリントンに拠点を置く Black Duck の Principal Consultant, Network and Red Team Practice Director である Thomas Richards は、この Microsoft の決定に対して驚きを隠さない。
彼は、「通常において、積極的に悪用されている脆弱性は短期間で修正される。国家に支援される APT グループが積極的に悪用している状況で、Microsoft がセキュリティ・パッチのリリースを拒否するのは異例である。Microsoft にとって必要なことは、この脆弱性に速やかに対処し、ソフトウェア・リスクを管理することである。世界中のシステムへの、さらなる攻撃や侵害を防ぐ必要がある」と述べている。
その一方で、アリゾナ州スコッツデールに拠点を置く Sectigo の Senior Fellow である Jason Soroko は、Microsoft の決定を冷静に受け止めている。
彼は、「この脆弱性を悪用するには、コマンド・ライン引数に空白文字を埋め込むことで、Windows がショートカット・ファイルを表示する方法を操作する必要がある。つまり、日常のシナリオではあり得ない、一連の特定の条件やユーザー操作を必要とする場合に、Microsoft は低リスクとみなす可能性がある。この脆弱性を悪用する攻撃者は、エンドポイント侵害を悪用して権限を昇格する必要があるが、過去においても Microsoft は、同様の見解を表明している」と述べている。
ZDI と Microsoft:サイバー・セキュリティ論争の歴史
セキュリティ脆弱性の問題について、ZDI が Microsoft を批判するのは、今回が初めてのことではない。2024年7月に ZDI は、Microsoft が Patch Tuesday アップデートでクレジットを付与しなかったとして、脆弱性の開示における透明性の欠如を批判した。
Check Point の研究者である Haifei Li も、その脆弱性を発見したが認知されず、Microsoft のコミュニケーション不足が浮き彫りになった。
この欠陥に対するパッチを、Microsoft が発行しないことで、何百万人ものユーザーがサイバー・セキュリティの脅威にさらされている。国家に支援される APT たちは、今後も引き続き、この脆弱性を悪用するだろう。
したがって、保護された状態を維持するためには、強力な EDR ソリューションを用いて悪意の .lnk ファイルを検出/阻止する必要がある。さらに、ネットワーク・トラフィックを監視して、侵害の兆候の有無を確認する必要がある。疑わしいリンクを避けるようにユーザーをトレーニングし、セキュリティ・アラートに速やかに対応してほしい。
Windows のショートカット・ファイル (.lnk) に存在する脆弱性が、世界中の国家支援のハッカーによる攻撃対象になっていますが、パッチがリリースされないという、非常に厳しい状況です。つい先週の 2025/03/13 には、「Windows の脆弱性 CVE-2025-24983 が FIX:修正に要した2年間と現実の攻撃での悪用」という記事をポストしていますが、ベンダの情報を待つだけではなく、ユーザー側でも防御策を取ることの重要性を痛感します。よろしければ、Microsoft で検索も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.