Windowsユーザーにとって、またしても見逃せない警告が発せられました。
Microsoftが依然として修正できていない2つの深刻な脆弱性が、現在も世界規模で悪用され続けているのです。
1つはなんと2017年から活動が確認されているゼロデイ攻撃「ZDI-CAN-25373」、
もう1つはWindows Serverの更新機能を通じて感染を広げる「CVE-2025-59287」。
どちらもMicrosoftが何度も修正を試みたものの、完全な封じ込みには至っておらず、
Trend MicroやArs Technicaの報告によると、60カ国以上のサーバーや企業ネットワークで今も侵入被害が確認されています。
この記事では、2つの脆弱性の正体と感染のしくみ、さらに一般ユーザーが取るべき防御策をわかりやすく解説します。
- 2017年から潜んでいた「ZDI-CAN-25373」ゼロデイ攻撃とは
- トレンドマイクロが発見、国家レベルのサイバー攻撃に利用
- 「PlugX」リモートトロイの木馬、偽RC4形式で感染拡大
- 一般ユーザーが今すぐできる防御策:.lnkファイルの制限設定
- 第二の脆弱性「CVE-2025-59287」:Windows Serverを襲う再発バグ
- Microsoftの対応が後手に回る理由
- 世界規模で拡大する攻撃、そして「CVE-2025-9491」への波及
- セキュリティ専門家の見解:「修正不能領域に踏み込んだ」
- 一般ユーザーが今できる対策
- まとめ:Windowsが直面する“根本的な限界”
2017年から潜んでいた「ZDI-CAN-25373」ゼロデイ攻撃とは
最初の脆弱性「ZDI-CAN-25373」は、Windowsのショートカットファイル(.lnk)を悪用するゼロデイ攻撃です。
一見すると harmless(無害)に見えるショートカットをクリックしただけで、
バックグラウンドで任意コードを実行できてしまう──そんな深刻な構造的欠陥がWindows内部に潜んでいました。
Trend Microの調査によれば、
このゼロデイは実際には2017年の時点で特定国家系の攻撃グループによって利用されていたとのこと。
その後もWindows 10、Windows 11にいたるまで断続的に使われ続け、
2023年に入ってようやく公式に「未修正の脆弱性」として登録されました。
攻撃の仕組みは非常に巧妙で、
ショートカット(.lnk)ファイルが内部で持つバイナリ構造の不備を利用し、
対象ファイルの実行パスを“偽装”して悪意あるコードを呼び出すというもの。
その結果、ユーザーがファイルの場所を確認しなくても、
マルウェアが自動で実行されるという危険な挙動を引き起こします。
トレンドマイクロが発見、国家レベルのサイバー攻撃に利用
Trend Microはこの攻撃を分析する過程で、
中国に拠点を置く複数のサイバー攻撃グループが同手法を用いていることを突き止めました。
特に注目されたのが、リモートアクセス型トロイの木馬「PlugX」を使った感染経路。
このマルウェアはRC4暗号化形式を偽装し、Windowsのショートカット経由でバックドアを展開します。
感染が確認された地域はヨーロッパ、東南アジア、南米など60カ国以上。
ターゲットの多くは政府系ネットワーク、報道機関、防衛関連企業などで、
Trend Microは「この攻撃は単なる犯罪ではなく、国家レベルのサイバー諜報活動の一環」と警告を出しました。
Microsoftは2024年末から2025年初頭にかけて何度か修正プログラムを配布しましたが、
**「根本的な修正には至っていない」**と専門家が指摘。
今なおZDI-CAN-25373の悪用事例が続いているといいます。
「PlugX」リモートトロイの木馬、偽RC4形式で感染拡大
PlugX(プラグエックス)は古くからあるマルウェアですが、
今回の攻撃では特別に改造されたバージョンが使われています。
この改変版は、.lnkファイルのバイナリ構造を利用してWindows内部に侵入し、
システム権限を奪取した後にネットワーク経由で別のデバイスへ感染を広げる設計。
表向きはただのショートカットに見えるため、
一般ユーザーはもちろん、セキュリティソフトでも検知が難しいことが問題視されています。
Trend Microの解析では、感染ファイルの中に「RC4」と呼ばれる暗号方式を模倣した
独自暗号化データが含まれており、これを復号しない限り中身を検出できません。
そのため、PlugXが一度侵入すると、既存のウイルススキャンでは除去しきれないケースも多発しています。
一般ユーザーが今すぐできる防御策:.lnkファイルの制限設定
現時点でMicrosoftは恒久的な修正パッチを配布していませんが、
ユーザー自身で「ショートカットファイルの動作制限」を行うことで感染を防ぐことが可能です。
(1) エクスプローラーを開く
(2) 「表示」タブ → 「オプション」 → 「フォルダーオプション」を開く
(3) 「登録されている拡張子は表示しない」のチェックを外す
(4) 信頼できない送信者からの .lnk ファイルを削除または開かないように設定
さらに、グループポリシーやWindows Defenderの「攻撃防止制御」を使い、
ショートカット経由でのスクリプト実行をブロックすることも推奨されています。
第二の脆弱性「CVE-2025-59287」:Windows Serverを襲う再発バグ
もうひとつ深刻なのが、**Windows Serverの更新機能を狙った「CVE-2025-59287」**と呼ばれる欠陥です。
このバグはサーバー管理者や企業ネットワークにとって特に危険で、
**リモートから任意のコードを実行できる(RCE:Remote Code Execution)**という致命的な性質を持っています。
もともとこの問題は「WSUS(Windows Server Update Services)」のシリアライゼーション処理に存在しており、
2025年10月の臨時パッチで修正済みとされていました。
しかし、数週間後にセキュリティ企業が「修正が不完全で、依然として攻撃可能」と報告。
実際に攻撃が再発したため、現在もMicrosoftは緊急対応中です。
Trend Microは、このバグが「worm(ワーム)」型の自己拡散機能を持つことを確認。
感染した1台のサーバーから、同一ネットワーク上の他のサーバーへ自動的に拡散し、
管理者権限を奪取して不正更新ファイルを配布するケースが見つかっています。
つまり、セキュリティパッチを適用したはずの環境でも、再び感染が広がる可能性があるのです。
Microsoftの対応が後手に回る理由
Ars Technicaによると、Microsoftは両脆弱性に対して
「既知の問題として調査中」と述べているものの、恒久的な修正時期は明示していません。
特にZDI-CAN-25373については、Windows 10のコード構造の奥深くに組み込まれており、
根本的に修正すると互換性問題を引き起こすリスクが高いと専門家は指摘します。
一方でCVE-2025-59287に関しても、WSUSの仕組み自体が古い.NET Frameworkのシリアライゼーションに依存しているため、
抜本的な再設計が必要となります。
そのためMicrosoftは「暫定的な防御策」を推奨しつつ、完全な修正には時間を要すると説明しています。
世界規模で拡大する攻撃、そして「CVE-2025-9491」への波及
2025年11月現在、Trend MicroとArs Technicaの共同分析によれば、
これらの脆弱性を利用した攻撃は少なくとも60カ国のサーバーに被害を及ぼしており、
特に欧州の政府機関やエネルギー企業を狙う事例が多発しています。
さらに問題を複雑化させているのが、
新たに報告された派生脆弱性「CVE-2025-9491」(通称:第2世代ゼロデイ)です。
これはZDI-CAN-25373の亜種とされ、
Windows 11 Build 26200以降の一部構成でも再現することが確認されています。
Microsoftは2025年末までにパッチを提供予定としていますが、
現状ではセキュリティ企業が推奨する暫定策を取るしかないのが実情です。
セキュリティ専門家の見解:「修正不能領域に踏み込んだ」
複数の専門家は、この2件の脆弱性を「構造的な問題」と呼んでいます。
なぜなら、Windowsのコアアーキテクチャ(NTカーネルや旧互換API)が
依然として20年以上前の設計思想を維持しているからです。
ある研究者はこう語ります。
「Microsoftは新しい脆弱性を修正するたびに、過去との互換性維持という壁にぶつかっている。
古いコードを切り離せない限り、ゼロデイ攻撃は今後も続くだろう。」
実際に、2025年秋のWindows 11 25H2でも、
旧世代コンポーネントの挙動を引き継ぐためにセキュリティホールが再出現したケースが確認されています。
一般ユーザーが今できる対策
- Windows Updateを常に最新に保つ
→ 一時的な修正パッチでも、適用しておくことで被害範囲を抑えられます。 - 信頼できないショートカット(.lnk)を開かない
→ メール添付や外部ドライブからの.lnkファイルは削除推奨。 - WSUS・RDPを使う企業環境では外部アクセスを制限
→ ファイアウォールでTCPポート8530・8531を閉じておくと、
ワーム型攻撃の拡散を防止できます。 - Windows Defenderの「攻撃面削減(ASR)」を有効化
→ 「Officeファイルやスクリプトからの疑わしい動作をブロック」にチェック。
まとめ:Windowsが直面する“根本的な限界”
今回の2件の脆弱性は、単なる一過性のバグではありません。
Windowsの歴史的構造の脆さそのものが露呈した事例です。
ZDI-CAN-25373は2017年から、CVE-2025-59287は2025年に入っても修復されず、
Microsoftは「互換性」「設計の古さ」という壁に直面しています。
それでも私たちができる最も現実的な防御は、
「定期更新・不審ファイルを開かない・サーバー構成を見直す」という基本に尽きます。
コメント欄ではすでに多くの管理者が、
「このゼロデイはOS再設計なしでは止められないのでは」と議論を交わしています。
あなたはどう思いますか?
Microsoftの次のPatch Tuesday(2025年11月12日予定)での対応に、
世界中のユーザーが注目しています。
