【CVE-2025-58718】Windowsリモートデスクトップクライアントに“重大脆弱性”発覚！リモートコード実行が可能な危険性と緊急対策まとめ

2025年10月14日、**Microsoftが公開した最新パッチ（Patch Tuesday）**で、
Windowsリモートデスクトップクライアント（Remote Desktop Client）に深刻な脆弱性が報告されました。

この脆弱性は「CVE-2025-58718」として登録され、CVSSスコアは8.8（High／重要度：Important）。
リモートで攻撃者にコード実行を許してしまう可能性がある、いわゆるRCE（Remote Code Execution）脆弱性です。

しかも、攻撃に特別な権限は不要で、ユーザーが悪意あるRDPサーバーに接続しただけで感染が成立します。
企業でも在宅勤務でも使われているRDPに発生したこの問題は、静かに、しかし確実に危険を広げています。

• 脆弱性CVE-2025-58718とは？原因は“Use-After-Free”のメモリ破壊
• 攻撃の仕組み：「偽RDPサーバー」に接続しただけで感染
• Microsoftの公式発表：リスクは“重要（Important）”分類
• 対象バージョン：すべてのWindows環境に潜在的影響
• 攻撃を防ぐための実践的な対策
• 専門家の見解：「使わないならRDPは切れ」
• 今回の脆弱性が示す教訓：リモート時代の“入口防御”を忘れるな
• RDP脆弱性の“本当の怖さ”──たった一度のクリックで侵入される理由
• Microsoftが「実際の悪用は確認されていない」とする裏事情
• PoC（概念実証コード）の出回りで一気に実用攻撃化の恐れ
• セキュリティ担当者向け：RDP防御のベストプラクティス2025
• 脆弱性対策を怠る企業が直面する“2次被害”
• セキュリティ業界が注目する“パッチ適用率の低さ”
• 次の一手：RDPからの脱却を考える時期
• まとめ：脆弱性は“技術”より“習慣”で防げ
  • 💬コメント欄：あなたの対策、どこまで進んでいますか？

脆弱性CVE-2025-58718とは？原因は“Use-After-Free”のメモリ破壊

今回の脆弱性の原因は、リモートデスクトップクライアント（mstsc.exe）内のUse-After-Freeバグ。
これは、プログラムが一度解放したメモリ領域を誤って再利用してしまうバグの一種で、
攻撃者が細工したデータを読み込ませることで、任意のコードを実行できる状態になります。

つまり、攻撃者は悪意あるRDPサーバーを用意し、
ユーザーをそこに誘導するだけで、被害者のPC上でプログラムを自由に動かすことができてしまうのです。

この脆弱性を突くには「ユーザーの操作（User Interaction）」が1回必要ですが、
それ以外に認証や権限は不要。

Microsoftの分類でも、次のような評価がされています。

評価項目	内容
攻撃ベクター	ネットワーク経由
攻撃の複雑さ	低い（Low）
権限の必要性	なし（None）
ユーザー操作	必要（Required）
機密性への影響	高（High）
完全性への影響	高（High）
可用性への影響	高（High）

CVSS基本スコアは8.8／10。
遠隔操作ツールを日常的に使う人ほど狙われやすい構造になっています。

攻撃の仕組み：「偽RDPサーバー」に接続しただけで感染

攻撃の流れはこうです。

(1) 攻撃者が偽のRDPサーバーを構築する
(2) 被害者に「業務用サーバー」や「遠隔サポートツール」と偽ったリンクを送る
(3) ユーザーが接続すると、サーバーがUse-After-Freeバグをトリガー
(4) 攻撃コードが被害者の権限で実行され、システムが乗っ取られる

恐ろしいのは、攻撃者がネットワーク経由で直接操作する必要がないという点です。
つまり、メールやチャット経由でリンクを踏ませるだけで感染します。

この特性は、かつての「BlueKeep」脆弱性（CVE-2019-0708）を思い出させます。
ただし今回のCVE-2025-58718は、それより“静かに”“誘導型”で行われるのが特徴です。

Microsoftは「現時点では実際の攻撃は確認されていない（Exploitation: Unproven）」としていますが、
PoC（概念実証コード）が公開されれば、被害が一気に拡大する可能性が高いとセキュリティ研究者たちは警告しています。

Microsoftの公式発表：リスクは“重要（Important）”分類

Microsoftのセキュリティチームは10月14日のパッチチューズデーで、
CVE-2025-58718を含む複数の脆弱性を修正しました。

その中でこのRDPクライアントの脆弱性は「重要（Important）」に分類されています。
これは“緊急（Critical）”の一歩手前で、条件がそろえば深刻な被害につながるリスクを意味します。

ただし、Microsoftは現状をこう評価しています。

「攻撃が成立するには、ユーザーが悪意あるRDPサーバーに接続する必要がある。
デフォルトではポートリダイレクトが無効化されているため、攻撃の成立は“Less Likely（可能性低）”と見ている。」

つまり、今すぐ攻撃が始まる確率は低いが、油断は禁物です。
なぜなら、RDPは企業・自治体・病院などで頻繁に使われる機能だからです。

対象バージョン：すべてのWindows環境に潜在的影響

この脆弱性が影響を与えるのは、Windows 10、Windows 11、Windows Serverのすべてのバージョンです。
特に、リモートワーク環境でRDPを活用している組織は要注意。

Microsoftの発表によると、修正パッチは2025年10月の月例更新プログラムとして配信されています。
自動更新が無効になっている場合は、必ず手動で更新してください。

手動更新の手順は以下の通りです。

(1) スタートメニューから「設定」を開く
(2) 「Windows Update」を選択
(3) 「更新プログラムのチェック」をクリック
(4) 表示された「2025年10月の累積更新プログラム」を適用

※適用後は必ず再起動を行い、更新の完了を確認してください。

攻撃を防ぐための実践的な対策

今回の脆弱性を悪用した攻撃は、単なる“ゼロクリック攻撃”ではなく**「ユーザー操作がトリガー」**となります。
そのため、技術的対策＋人間的対策の両輪が求められます。

(1) 必ず最新パッチを適用する
　10月更新プログラムには、この脆弱性を修正するコードが含まれています。
　Windows Updateを有効にしておきましょう。

(2) 信頼できないRDPサーバーに接続しない
　メールやチャットで送られてきたRDPリンクを不用意にクリックしないこと。
　特に「業務サポート」「遠隔サポート」などを名乗るリンクは注意です。

(3) RDPのアクセス制限を設ける
　企業環境では、RDP接続をVPN経由のみに制限するか、ファイアウォールで外部アクセスを遮断します。

(4) フィッシング訓練を実施する
　この脆弱性は“クリック誘導型”であるため、従業員教育が防御の鍵になります。

(5) 侵入検知ログを監視する
　不審なRDPセッションの試行やログイン履歴を監視し、異常を早期発見することが重要です。

専門家の見解：「使わないならRDPは切れ」

サイバーセキュリティ専門家の間では、
「在宅勤務やクラウド時代にRDPは古い攻撃面を残している」との声も強まっています。

特に、VPNやZero Trust環境への移行が進む中で、
**「RDPを常時有効にしていること自体がリスク」**と指摘されています。

セキュリティアナリストのグルバラン氏（Cyber Security News共同創設者）は次のようにコメントしています。

「RDPは便利だが、“攻撃者にとっても同じくらい便利”だ。
利用していない環境ではRDPを無効化することが、最も確実な防御になる。」

今回の脆弱性が示す教訓：リモート時代の“入口防御”を忘れるな

CVE-2025-58718は、単なるメモリバグではなく、
「人間がクリックする瞬間」を狙った社会的工学攻撃と結びつく危険性を持っています。

テレワークが当たり前になった今、
RDPは“企業ネットワークの玄関口”のひとつ。
そこに生じた1つの欠陥が、内部システムの全面侵入に直結する可能性もあります。

Microsoftが即座にパッチを出したことは評価すべきですが、
最終的に防ぐのは“ユーザーの判断力”です。
クリック前の一呼吸が、あなたのPCを守る防壁になるのです。

RDP脆弱性の“本当の怖さ”──たった一度のクリックで侵入される理由

CVE-2025-58718が特に危険だと言われる理由は、「人間の操作を起点に、リモートから実行される」という構造にあります。
攻撃者はネットワーク上の不特定多数に直接侵入するわけではありません。
代わりに、「被害者が自ら悪意あるサーバーに接続してくれるよう誘導する」──これが今回の手口の核心です。

メール、Teams、Slack、あるいは偽のサポートサイトなど、入り口は多岐にわたります。
「このリンクから接続してください」と一言添えられたURLをクリックした瞬間、
RDPクライアント（mstsc.exe）がサーバーと通信を始め、そのデータ解析処理の中でUse-After-Freeが発動します。

そして、メモリ上で解放済み領域に攻撃コードが挿入され、ユーザー権限で任意実行される。
このとき、OSは“通常のRDP通信”として動作しているため、
多くのウイルス対策ソフトでは不審行動と認識されにくいのです。

さらに悪質なのは、攻撃コードがユーザー権限で実行されるため、UAC（ユーザーアカウント制御）警告も出ないという点。
つまり、「クリックした瞬間に感染」しても、本人には違和感がないのです。

サイバーセキュリティ研究者の一人はこの構造を「サイレント・コンプロマイズ（Silent Compromise）」と呼んでいます。
その名の通り、音もなく侵入し、気づいたときにはシステム操作が完全に奪われている──そんな静かな攻撃が現実化しつつあります。

Microsoftが「実際の悪用は確認されていない」とする裏事情

今回のCVE-2025-58718に関するMicrosoftの公式評価は、「Exploitation Less Likely（悪用される可能性は低い）」となっています。
一見、安心できる表現に見えますが、専門家の間では「慎重すぎる評価」とも言われています。

理由のひとつは、“悪用には条件が多い”というMicrosoftの前提が、現実とズレているからです。
彼らは「ポートリダイレクトが無効化されている限り、攻撃は成立しにくい」と説明しています。
しかし実際には、リモートサポート業務やVPN経由接続などではポートリダイレクトを有効にしている企業が多いのです。

つまり、現場では条件が揃いやすい。
とくに在宅勤務中の社員が自宅PCから社内サーバーに接続する場合、この脆弱性の影響を直接受ける構造になっています。

Microsoftの報告書に「企業はユーザー教育を徹底すべき」と書かれているのも、
裏を返せば「パッチを当てても、使い方次第で侵入を許す」という警告でもあります。

PoC（概念実証コード）の出回りで一気に実用攻撃化の恐れ

現時点ではCVE-2025-58718を悪用した攻撃は報告されていません。
しかし、サイバーセキュリティ研究者の間では、PoCコード（Proof of Concept：概念実証コード）がGitHubなどに流出するのは時間の問題と見られています。

過去の例では、Microsoftが“悪用の可能性は低い”とした脆弱性でも、
数週間以内にPoCが公開され、ランサムウェアの配布ルートとして実際に使われた事例がいくつもあります。

特に今回のようなRDP関連の脆弱性は、攻撃者が好んで利用する分野です。
RDPはほぼ全てのWindows環境に標準搭載されているため、標的を選ばない。
しかもネットワークポート3389は企業でも多く開放されており、ブルートフォース攻撃と組み合わせれば極めて効率的な侵入経路になります。

つまり、「今は安全」ではなく、「今こそ準備が必要」なのです。
脆弱性対応のスピードが、企業の命運を分ける時代になっています。

セキュリティ担当者向け：RDP防御のベストプラクティス2025

CVE-2025-58718を踏まえ、企業のシステム管理者が取るべき防御策を整理します。
これらはMicrosoftやCISA（米国サイバーセキュリティ庁）の推奨事項にも沿った内容です。

(1) RDPをインターネットに直接公開しない
　外部ネットワークから3389ポートへのアクセスを遮断し、VPNまたはゼロトラスト経路のみ許可する。

(2) RDPゲートウェイ（Remote Desktop Gateway）を導入する
　すべてのRDPセッションを中継サーバー経由にすることで、外部から直接RDPに触れさせない。

(3) 多要素認証（MFA）の導入
　資格情報を奪われてもセッションが確立されないよう、ID認証にMFAを組み込む。

(4) 監査ログを常時モニタリング
　Windows Event ID 4624, 4625, 4778, 4779 などRDP関連イベントをリアルタイム監視し、不審な試行を検出する。

(5) 定期的なRDP証明書の更新と署名確認
　RDP接続証明書が失効していないか、偽造されていないかをチェックする。
　中間者攻撃（MITM）を防ぐために、ピンニング（証明書固定化）も有効です。

(6) 従業員への訓練
　「RDP接続を求めるメールは、どんなに正当そうでも一度上長に確認する」――このルールが最大の防御となります。

脆弱性対策を怠る企業が直面する“2次被害”

RDP脆弱性は、単なる情報漏えいにとどまりません。
攻撃者がリモートで任意コードを実行できるということは、その後に何でもできるということです。

・内部ネットワークへのラテラルムーブメント（横展開）
・Active Directoryの支配
・ランサムウェアによる暗号化と恐喝
・クラウド認証情報の窃取
・業務停止とデータ破壊

過去に起きた「Conti」「LockBit」などのランサムウェア攻撃でも、最初の侵入経路はRDP経由が最多でした。
つまり、RDPの脆弱性を放置することは、社内LAN全体を差し出すに等しいのです。

特に中小企業では「リモート接続が1台だけだから大丈夫」という誤解が広がっています。
実際には、その1台が突破口となり、全社ネットワークが暗号化される──そんな事件は過去何度も報告されています。

セキュリティ業界が注目する“パッチ適用率の低さ”

Cyber Security Newsの調査によると、2024年時点でのWindows環境における**月例更新の平均適用率は約63％**にとどまっていました。
つまり、3人に1人は最新パッチをすぐには適用していないということです。

今回のように、サポート終了（Windows 10）や移行期（Windows 11）の混乱が重なると、
この数字はさらに悪化する可能性があります。

そのため、MicrosoftやCISAは**「Patch Now」キャンペーン**を再び展開。
セキュリティチームに向けて、更新の自動適用とリモート端末の一括監視を強く呼びかけています。

特に企業においては、WSUSやIntuneといった管理システムで更新状態を可視化する仕組みの導入が急務です。
放置された1台の端末が、サイバー攻撃の入口になる──これはもはや“常識”といえるでしょう。

次の一手：RDPからの脱却を考える時期

今回の脆弱性をきっかけに、セキュリティ業界では「RDP依存からの脱却」という議論が加速しています。
リモートアクセス手段として、近年は以下のような代替ソリューションが注目されています。

• Windows 365 Cloud PC（クラウド上に仮想Windowsを配置し、ブラウザ経由で接続）
  
  
• Azure Virtual Desktop（AVD）
  
  
• Zero Trust Network Access（ZTNA）製品（例：Cloudflare One, Zscaler, Netskopeなど）
  
  

これらの仕組みでは、RDPポートを直接公開することがないため、
CVE-2025-58718のようなネットワーク経由攻撃の影響を根本的に遮断できます。

セキュリティの観点から見れば、これは「パッチで防ぐ」よりも「構造で防ぐ」方向への転換です。
特に中小企業でも導入しやすいクラウド型ZTNAが、2026年以降の主流になると予想されています。

まとめ：脆弱性は“技術”より“習慣”で防げ

今回のCVE-2025-58718は、テクニカルな欠陥というよりも、使い方の習慣が狙われた脆弱性です。
つまり、どんなにパッチを当てても、不用意なクリック一つで侵入を許すという本質は変わりません。

Microsoftはすでに修正パッチを提供しています。
ユーザーにできる最善策は、今すぐ更新を行い、不要なRDP接続を閉じ、
そして「この接続は本当に正しいか？」と一度立ち止まることです。

セキュリティの第一歩は、最新情報を知ること。
第二歩は、それを“習慣”に変えることです。

💬コメント欄：あなたの対策、どこまで進んでいますか？

• 「RDPを無効にしてクラウド経由に切り替えた」
  
  
• 「パッチを当てたけど社内の一部がまだ旧環境」
  
  
• 「Phishingテストをやって社員の意識が上がった」
  
  
• 「VPN経由限定にしてから安心感が違う」
  
  

あなたの職場や自宅では、どんな対策をしていますか？
コメント欄で経験を共有してください。

脆弱性は“ニュース”で終わらせず、“行動”につなげることが、何よりの防御になります。