Microsoft SQL Server 0-Day Vulnerability Exposes Sensitive Data Over Network
2025/07/09 CyberSecurityNews — Microsoft SQL Server に、深刻な情報漏洩の脆弱性が発見された。この脆弱性 CVE-2025-49719 の悪用に成功した未認証の攻撃者は、リモートから機密データにアクセスする可能性を手にする。この脆弱性は、SQL Server の不適切な入力検証に起因するものであり、認証やユーザー操作を必要とせずに、初期化されていないメモリの内容を漏洩させるという。
主なポイント
- 新たに発見された SQL Server の深刻な脆弱性 CVE-2025-49719 は、不適切な入力検証により機密データを漏洩させる可能性がある。
- この脆弱性は SQL Server 2016~2022 に影響し、認証を必要とすることなく、リモートからの悪用を許す。
- すでに Microsoft は、セキュリティ・パッチをリリースし、ユーザーに対して速やかなアップデートを推奨している。
- 攻撃者は初期化されていないメモリにアクセスし、機密のデータベース情報を漏洩させる可能性を手にする。
この脆弱性が影響を及ぼす範囲は、SQL Server 2016〜2022 の複数バージョンであり、2025年7月8日の Patch Tuesday で修正パッチが公開されている。
脆弱性 CVE-2025-49719 の詳細
脆弱性 CVE-2025-49719 は、CWE-20 (不適切な入力検証) に分類され、SQL Server が受信するネットワーク・リクエストの処理方法における、根本的な欠陥を表している。また、この脆弱性の深刻度は Important (CVSS 3.1 ベース・スコア 7.5/テンポラル・スコア 6.5) と評価されている。
この脆弱性の悪用に成功した攻撃者は、不十分な入力検証ルーチンを悪用して、初期化されていないメモリ領域にアクセスし、機密データベース情報/接続文字列などの機密データを取得する機会を手にする。
CVSS ベクターは (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) とされている。それが示すのは、ネットワーク・ベースの攻撃の複雑度が低く、特権やユーザー操作を必要としないことであるため、特にエンタープライズ環境において深刻視される脆弱性となる。
この脆弱性により、ネットワーク・アクセスに露出する SQL Server インスタンスから、攻撃者は機密情報を抽出する可能性を得るため、自動化された攻撃ツールや偵察活動の対象となるリスクが高まる。
この侵害メカニズムは、認証資格情報やユーザー操作を必要としない、ネットワーク・ベースの攻撃ベクターを悪用するものであり、成功のハードルを大幅に低下させる。その結果として、SQL Server の入力検証ルーチンを標的とする、悪意のネットワーク・パケットを作成する攻撃者は、初期化されていないメモリ内容の漏洩を引き起こすという。
この脆弱性は、リモートからの悪用が可能であるため、TCP/IP 接続経由でアクセス可能な、すべての SQL Server インスタンスが標的となる。
この脆弱性の悪用可能性に関する Microsoft の評価では、先行して情報が公開されているが、実際の悪用は起こりにくいと指摘されている。
しかしながら、ネットワーク経由でのアクセスが可能であり、さらに、認証が不要という条件が揃っているため、きわめて広範な攻撃対象が生じることになる。
クラウド環境で SQL Server を運用している組織では、特に Windows Azure IaaS 環境では、クラウド固有の広範なネットワーク接続性により、さらなるリスクが生じる可能性がある。
| Risk Factors | Details |
| Affected Products | Microsoft SQL Server 2016, 2017, 2019, 2022 (all supported versions; various GDR/CU builds) |
| Impact | Information Disclosure |
| Exploit Prerequisites | No authentication or user interaction required |
| CVSS 3.1 Score | 7.5 (High) |
緩和策
すでに Microsoft は、すべてのサポート対象 SQL Server バージョン向けの包括的なセキュリティ・アップデートをリリースし、脆弱性 CVE-2025-49719 に対処している。
今回の対応方針は、各バージョンに対応する GDR (General Distribution Release) および、CU (Cumulative Update) パッケージの適用を含んでいる。
主要アップデートは以下の通りである:
- SQL Server 2022 CU19 + GDR (16.0.4200.1):KB 5058721
- SQL Server 2019 CU32 + GDR (15.0.4435.7):KB 5058722
- SQL Server 2017 CU31 + GDR (14.0.3495.9):KB 5058714
インターネットに公開されている SQL Server インスタンスについては、パッチの即時適用が最優先事項となる。
また、データベース管理者にとって必要になるのは、全社的なパッチ適用を調整する際に、ネットワーク・セグメンテーションやアクセス制御などの、追加的な防御策を講じることである。
Microsoft SQL Server の脆弱性 CVE-2025-49719 は、初期化されていないメモリへのリモートからの不正アクセスが可能であり、認証も操作も不要であるため、深刻な情報漏洩につながる可能性があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、SQL Server で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.