Windows Kernel の権限昇格の脆弱性 CVE-2025-62215:すでに悪用試行が確認されている

Windows Kernel 0-Day Under Active Exploitation for Privilege Escalation

2025/11/12 gbhackers — Microsoft が公開したのは、現時点で積極的に悪用されている、Windows カーネルの深刻な脆弱性に関する情報である。この脆弱性 CVE-2025-62215 (2025年11月 Patch Tuesday で修正) を悪用する攻撃者は、脆弱な Windows システム上で権限を昇格し、上位アクセスを取得できる。この脆弱性は、複数のプロセスが共有リソースに同時にアクセスする際の不適切な同期に起因する、Windows カーネルにおける権限昇格の欠陥である。

脆弱性の詳細

脆弱性 CVE-2025-62215 は、CWE-362 (不適切な同期による共有リソースの同時実行) および CWE-415 (二重解放) に分類される。この脆弱性を悪用する権限が制限されたローカル攻撃者は、競合状態を利用してシステム・レベルの権限で任意のコードを実行する可能性を得る。

AttributeDetails
CVE IDCVE-2025-62215
TypeElevation of Privilege
Release DateNovember 11, 2025
SeverityImportant
CVSS Score7.0 (6.5 Alternative)

2025年11月11日に公開された CVE-2025-62215 に対して、Microsoft は CVSS 3.1 スコア 7.0、深刻度 Important と評価している。

この脆弱性の悪用の前提として、ローカル・アクセスが必要になるため、標的システム上にユーザー・アカウントを持っている攻撃者が対象となる。

しかし、この攻撃者は、ユーザーによる操作を必要とせず、自動スクリプトや悪意のアプリケーションを介して、この脆弱性をトリガーする可能性がある。

この悪用の手法は、Windows カーネルのメモリ管理サブシステムで、競合状態を意図的に誘発することで達成される。複数のスレッドまたはプロセスのタイミングを慎重に調整することで、攻撃者は共有カーネル・リソースを操作して二重解放状態を引き起こし、メモリ破損を引き起こす可能性を得る。

それにより攻撃者は、カーネル・コンテキストで任意のコードを実行し、システムを完全に侵害できる。また、低レベルの権限でのみ実行できるため、攻撃対象領域が広いことも懸念される。低権限のアカウントを持つユーザーであっても、この脆弱性を悪用できるため、複数のユーザーが同じシステムへのアクセスを共有する、エンタープライズ環境が危険になる。

脅威活動を監視しているセキュリティ研究者によると、すでに脆弱性 CVE-2025-62215 は複数の脅威アクターにより、標的型攻撃で積極的に悪用されているとのことだ。企業および政府機関のネットワークでは、この脆弱性を悪用した侵入の試みが確認されている。

攻撃の主な目的は、機密データの窃取/ランサムウェアの展開/侵害したシステムへの永続的なバックドアの設置である。

すでに Microsoft は、この脆弱性に対処するためのセキュリティ・パッチを、2025年11月 Patch Tuesday でリリースしている。

ユーザー組織に対して推奨されるのは、Windows 10/Windows 11/Windows Server を実行しているシステムに対して、最新の Windows セキュリティ更新プログラムを、直ちに適用することだ。

セキュリティ・チームにとって必要なことは、パッチ適用に加えて、以下のような追加の防御策を実施することだ。

  • 悪意のコード実行を防ぐためのアプリケーション許可リストの実装
  • ローカルユーザー・アカウントの作成と権限レベルの制限
  • 脆弱性の原因となり得る不要なサービスとカーネル機能の無効化
  • EDR ソリューションの導入によるエクスプロイト試行の特定
  • システムログを用いたカーネル・レベルのアクティビティやイベントの監視

この脆弱性の原因は、Windows カーネル内部で共有リソースへのアクセスを正しく同期できていなかったことにあります。複数の処理が同時に動く場面でタイミングがずれると、メモリの扱いに不整合が生じ、二重解放のような危険な状態が発生してしまいます。その結果として、通常は制限された権限しか持たないユーザーであっても、上位の権限でコードを実行できてしまいます。なお、Microsoft のアドバイザリには、”Exploitation Detected” と明記されていました。ご利用のチームは、ご注意ください。よろしければ、Windows で検索を、ご参照ください。