ASP.NET の脆弱性 CVE-2025-55315 が FIX：深刻な HTTP スマグリング

Critical ASP.NET Vulnerability Allows Attacker To Bypass Security Feature Remotely

2025/10/21 CyberSecurityNews — Microsoft が明らかにしたのは、ASP.NET Core に存在する深刻なセキュリティ脆弱性の情報である。この脆弱性 CVE-2025-55315 (CVSS v3.1：9.9：Important) を悪用する認証済みの攻撃者は、HTTP リクエスト・スマグリングにより重要なセキュリティ保護を回避できる。この問題は、HTTP リクエストの一貫性のない処理に起因しており、HTTP リクエスト／レスポンスのスマグリング (密輸) に分類される古典的な欠陥である。

2025年10月14日に公開された、この脆弱性の影響を受けるのは、人気の Web フレームワークを用いて安全なアプリケーションを構築している開発者であり、影響を受けるシステムの機密性／整合性／可用性にリスクが生じる。

この脆弱性は CWE-444 に分類されるものであり、HTTP リクエストを誤って解釈するサーバにより、悪意のペイロード挿入を攻撃者に許すものである。具体的に言うと、承認済みの低権限ユーザーであっても、細工されたリクエストをネットワーク経由で送信すれば、WAF などのフロントエンド・セキュリティ制御を回避できる。

その結果として、検知を回避する攻撃者により、他ユーザーのセッションの乗っ取りや、機密性の高い認証情報の窃取、サーバ・ファイルの変更などが実行される。Microsoft の分析によると、この脆弱性の悪用が成功すると、機密性／整合性の損失 (C:H／I:H) は High となるが、可用性への影響は小さい (A:L) とされる。ただし、サーバ・クラッシュの可能性は残る。

この脆弱性における攻撃範囲の変更 (S:C) は、脆弱なコンポーネントを超えて波及し、異なるセキュリティ権限を持つ無関係なリソースにも影響を及ぼすことになる。

現実世界のシナリオにおける悪用リスク

攻撃者が必要とするのは低権限のアクセスのみであり、ユーザーとのインタラクションも不要である。したがって、ネットワーク経由でアクセス可能な低複雑性の脅威となる (AV:N／AC:L／PR:L／UI:N)。現時点で悪用事例は公開されておらず、Microsoft は悪用の可能性を “Low” としている。

悪用シナリオとして考えられるのは、スマグリング・リクエストを巧妙に作成するインサイダーが、企業イントラネットの管理者になりすまし、給与データへの不正アクセスやマルウェア注入などを引き起こすケースなどである。また、e コマース・サイトでは、スマグリングされたリクエストにより、顧客情報が抜き取られる可能性がある。

このバグが影響を及ぼす範囲は、.NET 8 以降の ASP.NET Core と、Kestrel を使用する旧系統の特定バージョン (例：.NET 2.3) となる。Microsoft は、実際に悪用された形跡はないとしているが、確認された信頼性 (RC:C) と公式修正 (RL:O) が示唆するのは、迅速な対応の必要性である。

.NET 8 以降を使用している開発者にとって必要なことは、最新の Microsoft Update を適用し、アプリケーションを再起動することである。.NET 2.3 の場合には、Microsoft.AspNetCore.Server.Kestrel.Core パッケージをバージョン 2.3.6 に更新し、再コンパイルして再デプロイする必要がある。

自己完結型アプリは、更新後の再コンパイルが必要となる。より広範な対策としては、カスタム・ミドルウェアにおける HTTP 解析の監査と、厳格なリクエスト検証の有効化が挙げられる。

この脆弱性は、クラウド・サービスに対する過去の攻撃で見られた、HTTP スマグリングに対する懸念を再燃させる。リモート・ワークにより、攻撃対象領域が拡大しているため、このパッチ適用を優先する必要がある。

Microsoft が強く推奨するのは、脆弱なデプロイメントのスキャンと、異常なリクエストに対するログ監視である。このフレームワークは、膨大な数の Web アプリで利用されているため、パッチが適用されていないシステムは、データ侵害やコンプライアンス違反のリスクにさらされる。

ASP.NET Core (Kestrel) の HTTP リクエスト処理に一貫性がなく、リクエスト・スマグリングが可能になると、Microsoft が報じています。

認証済みの低権限ユーザーであれば、細工したリクエストで WAF などを回避して、サーバ側の整合性侵害を引き起こし、他ユーザーのセッション奪取や認証情報の漏洩などを可能にするとされます。ご利用のチームは、ご注意ください。よろしければ、ASP.NET で検索も、ご参照ください。