2025年12月13日ごろから「WindowsのVPNが急に切れる」「RasManが落ちる」系の話がザワついています。発端は、WindowsのRemote Access Connection Manager(RasMan)に“ゼロデイ(zero-day:未修正の脆弱性)”として見つかったサービス妨害(denial-of-service:DoS)系の欠陥で、しかも動くエクスプロイト(exploit:攻撃コード)がネット上に出回っている、という報道です。企業のVPN運用者はもちろん、在宅でVPNを使う人、サーバー管理者も「今どこまで手当てしたらいい?」が分かれるタイプなので、状況整理と現実的な落としどころをまとめます。 (BleepingComputer)
- 何が起きてる?いつの話?
- RasManって何?影響が出る人は?
- 原因は「循環リンクリスト」のNULL処理ミス
- ここがややこしい:CVE-2025-59230との“連鎖”問題
- 公式対応状況と、0patch“非公式パッチ”の位置づけ
- いま取れる対処:結局どれをやる?
- 他ユーザーの報告:現場の空気はこんな感じ
- コメント欄:あなたの環境だと“どっち派”?
何が起きてる?いつの話?
RasManを“任意にクラッシュさせられる”未修正のDoS脆弱性に、無料の非公式パッチ(0patch)が先に出た、という流れです。 (BleepingComputer)
時系列でいうと、米国時間の2025年12月12日にBleepingComputerや0patch側が公表し、同日〜翌日にかけて「エクスプロイトが拾える状態らしい」という文脈で拡散しました。 (BleepingComputer)
ポイントは、今回のDoS自体にはまだCVEが付いていない(=Microsoftの“番号付き修正”が出ていない)一方で、0patchが“暫定の止血”としてマイクロパッチ(micropatch:メモリ上に当てる小さな修正)を無料配布している点です。 (BleepingComputer)
RasManって何?影響が出る人は?
RasManはVPNやPPPoEなど「リモート接続の中枢」をSYSTEM権限で扱うWindows標準サービスです。 (BleepingComputer)
なので、クラッシュするとまず困るのは「Windows標準のVPN」「社内に入るためのVPN常用」「PPPoEをWindows側で扱ってる」あたり。逆に、常にVPNを使わないPCだと“致命傷”というより「落ちたら不便・運用が荒れる」寄りになりがちです(ここ、環境差が大きい)。 (BleepingComputer)
ただし企業だと、在宅VPNの断続だけで問い合わせが爆増します。しかも“落とせる”こと自体が次の攻撃の足場になる可能性があるのがイヤなところ。 (BleepingComputer)
原因は「循環リンクリスト」のNULL処理ミス
循環リンクリスト(circular linked list:輪っか状の連結リスト)を辿る処理で、NULLポインタを見つけた時に抜けず、メモリアクセス違反で落ちるのが核心です。 (0patch Blog)
ざっくり言うと「本来は輪っかだから永遠に次がある前提」なのに、例外的にNULLが紛れた瞬間、チェックの書き方が悪くて“止まらずにNULLを読みに行く”。結果、RasManがクラッシュします。0patchの説明だと、修正は「NULLを見つけたらループを抜ける」追加チェックで止血してる、という立て付けです。 (0patch Blog)
ここがややこしい:CVE-2025-59230との“連鎖”問題
このDoSは単体だと“落とす”話ですが、RasManが止まった瞬間に別の攻撃とつながる余地が議論されています。 (BleepingComputer)
背景にあるのが、2025年10月に修正されたCVE-2025-59230(RasManの権限昇格:privilege escalation)です。これは「認証済みローカル攻撃者がSYSTEMを取れる可能性」があり、実際に悪用も示唆されたタイプ。 (Tenable®)
そして0patch側は「CVE-2025-59230系の攻撃は、RasManが動いていると成立しにくいので、まずRasManを落とす“もう1ピース”が必要だった」と説明しています。今回のDoSがそのピースになり得る、という見立てです。 (BleepingComputer)
一方でMicrosoftはBleepingComputerに対して「このDoSは認識していて将来修正する」「10月パッチ(CVE-2025-59230)適用済みならEoP悪用の点では保護される」という趣旨のコメントを出しています。ここ、あなたの現場の判断が割れるはず。 (BleepingComputer)
公式対応状況と、0patch“非公式パッチ”の位置づけ
現時点ではMicrosoftの“公式修正(CVE付きの更新)”は未提供で、0patchが暫定策を無料配布中、という整理です。 (BleepingComputer)
0patchのマイクロパッチは、Windows 11 v25H2 / v24H2 / v23H2 / v22H2 / v21H2、Windows 10 v22H2〜、さらにWindows 7やServer 2008 R2〜Server 2025まで幅広く対象として列挙されています(“fully updated:最新累積更新まで当たってる”前提の書き方)。 (0patch Blog)
ただし非公式です。企業なら検証環境で踏む、変更管理に乗せる、サポート契約の扱いを確認する、ここは現実に大事。家庭なら「公式待ち」も全然アリです。 (BleepingComputer)
いま取れる対処:結局どれをやる?
最優先は“10月のCVE-2025-59230修正を当てる”、次点で“RasManを使う端末だけ暫定策を選ぶ”が現実的です。 (BleepingComputer)
(1) Windows Updateで、2025年10月のセキュリティ更新(CVE-2025-59230修正を含む)を未適用なら先に適用します。 (Tenable®)
(2) PCでVPN/PPPoEを日常的に使うか確認します。「会社のVPNクライアントがWindows標準VPNを叩く」タイプだと影響が出やすいです。 (BleepingComputer)
(3) すぐ止血したい運用(RDSサーバー、共有端末、VPN必須PCなど)なら、0patch Agentを導入して該当マイクロパッチを受ける選択肢があります(再起動不要のことが多い、とされています)。 (BleepingComputer)
(4) 逆にRasManをまったく使わないPCなら、サービスを無効化する案がフォーラムでも出ています。ただし依存関係がゼロかは環境で違うので、怖ければ“手を入れない”も選択肢。 (MalwareTips Forums)
(5) 監視を入れられる人は「RasManの異常終了」「VPN切断頻発」を検知して、同時に“ローカル侵入の兆候”がないかも見る。DoS単体より、連鎖がイヤなので。 (0patch Blog)
あと重要な温度感として、0patch CEOが「野良のエクスプロイトを見つけた」「検知エンジンで悪性扱いされていない」趣旨を述べたとThe Registerが書いています。つまり“踏み台にされる前提の世界”で考えるチームほど、暫定策を急ぎたくなるやつです。 (ザ・レジスター)
他ユーザーの報告:現場の空気はこんな感じ
「使ってないなら止める?でも何が起動してるの?」という“運用者あるある”が、すでにコメント欄に出ています。 (MalwareTips Forums)
The Registerのフォーラムでは「いつから入ってたバグなんだ?」みたいな話題が出ていて、根の深さを匂わせています(こういう時、みんなちょっと疲れる)。 (ザ・レジスタフォーラム)
MalwareTipsのスレッドでも「サービス使ってないならservices.mscで無効化が良さそう」という意見がある一方で、「スタートアップがManualなのにStartedになってる、何が起動してるんだ?」と悩む声も見えます。これ、実務のリアルですよね。 (MalwareTips Forums)
コメント欄:あなたの環境だと“どっち派”?
この件、結論が1つじゃないので、条件を書いて議論したほうが早いです。
よければ次のテンプレで置いていってください。
「OS:Windows 11 v24H2 / 10 v22H2 / Server 2022 など」
「VPN/PPPoE:使う(毎日/たまに)・使わない」
「10月パッチ(CVE-2025-59230):適用済み・未確認」 (Tenable®)
「方針:公式待ち・0patch導入・RasMan無効化・様子見」
「困ってる症状:VPNが落ちる、RasManが再起動する、まだ無症状、など」
あなたはどうします?「公式待ちで十分」派? それとも「止血しないと運用が回らない」派?
