2025年12月12日ごろから、WindowsのRemote Access Connection Manager(リモートアクセス接続マネージャー、通称RasMan)が「落とせる(クラッシュさせられる)」未修正の欠陥が話題です。単体だとDoS(サービス妨害)に見えますが、2025年10月に修正されたCVE-2025-59230(特権昇格)と“連鎖”すると、ローカル一般ユーザー権限からSYSTEM権限で任意コード実行まで到達し得る、というのが嫌なポイント。VPN運用中の企業、在宅でVPNを張る人、踏み台になりやすい共有PCの管理者ほど、いま状況整理が必要です。 (BleepingComputer)
- いま起きていることを時系列で整理
- どんなWindowsが対象?バージョンとビルドの話
- 技術的に何がマズい?原因は“循環リンクリストの思い込み”
- 「任意コード実行」って、リモートから?ローカルから?
- 公式対応状況:Microsoftはどう言ってる?
- いま取れる現実的な対処
- みんなの報告:RedditとXで何が言われてる?
- コメント欄を盛り上げたい:あなたの環境、どのパターン?
いま起きていることを時系列で整理
「未修正のRasManクラッシュ脆弱性(CVE未採番)」が、CVE-2025-59230の実用化を助ける“ピース”として見つかった、という構図です。 (BleepingComputer)
まず前提として、CVE-2025-59230はWindows Remote Access Connection Manager(RasMan)の特権の昇格(Elevation of Privilege:EoP)で、NVDではCVSS 7.8(High)として掲載されています。CISAのKEV(Known Exploited Vulnerabilities:既知の悪用カタログ)にも載った履歴があり、「現実に狙われる系」の扱いでした。 (NVD)
その後、0patch(ACROS Security)がCVE-2025-59230の調査中に「RasManを一般ユーザーが任意にクラッシュさせられる別のゼロデイ(zero-day:未修正)」を発見。これがあると、RasManが止まった瞬間を作れてしまい、結果としてCVE-2025-59230の条件(“RasManが動いていない瞬間”)を満たしやすくなる、という流れです。 (BleepingComputer)
どんなWindowsが対象?バージョンとビルドの話
影響範囲はかなり広く、Windows 7〜Windows 11、Server 2008 R2〜Server 2025まで“未修正のまま”と報じられています。 (BleepingComputer)
0patch側は「Windows 11 v25H2 / v24H2 / v23H2…、Windows 10 v22H2…、Server 2025…いずれも fully updated(最新適用)でも対象」としてマイクロパッチ(micropatch:小さな差分パッチ)を配布しています。つまり「最新まで更新してるから大丈夫」と言い切れないのが、この件の地味にイヤなところ。 (0patch Blog)
参考として、直近の月例更新だと、Windows 11 25H2/24H2はKB5072033(OS Builds 26200.7462 と 26100.7462)が案内されています。Windows 10 22H2はKB5071546(OS Build 19045.6691)など。自分の端末がどれか確認するなら、winver で「バージョン」と「OSビルド」を見てください。 (マイクロソフトサポート)
技術的に何がマズい?原因は“循環リンクリストの思い込み”
原因は「循環リンクリスト(circular linked list:輪っかのリスト)は壊れてないはず」という前提で書かれた処理が、NULLポインタに当たってもループを抜けず、NULLから次要素を読みに行って落ちる、というロジック不備です。 (0patch Blog)
0patchの説明だと、NULLチェック自体はあるのに「NULLだったときの正しい抜け方」が実装されておらず、結果としてメモリアクセス違反(memory access violation)でRasManがクラッシュします。テストでは“正常なリスト”しか作られず、想定外ケースが通ってしまった…という、ありがちなやつ。ありがちだけど、刺さる場所が悪い。 (0patch Blog)
「任意コード実行」って、リモートから?ローカルから?
今回の話は基本的に“ローカル(端末内)での権限昇格→SYSTEMでのコード実行”で、ネット越しにいきなり侵入できるタイプとは別物です。 (NVD)
ただし現場感としては、メール添付やマルウェアで「一般ユーザー権限の足場」を作られた後、最後にSYSTEMを取る工程でこういうEoPが使われがちなんですよね。共有端末、学内PC、VDI、現場の“とりあえずローカルユーザーが多い環境”ほど燃えやすい印象です。うーん、いやな予感する。 (NVD)
公式対応状況:Microsoftはどう言ってる?
Microsoftは「DoSの件は認識しており将来の修正で対応する」としつつ、現時点でCVE未採番・未パッチという扱いです。 (BleepingComputer)
一方でMicrosoftはBleepingComputerに対し「10月のCVE-2025-59230パッチを適用している顧客は、EoPの悪用から保護されている」ともコメントしています。ここ、読み方が難しくて、「DoSは残ってるけど、EoP連鎖の本命は塞いだ」という主張に見えます。だからといって、DoSが“連鎖の補助輪”になっていたという指摘が出てる以上、安心しきるのは早い…というのが正直なところ。 (BleepingComputer)
いま取れる現実的な対処
結局は「CVE-2025-59230を確実に塞ぐ」+「RasManクラッシュの影響を減らす」+「必要なら暫定パッチも検討」の三段構えが安全です。 (BleepingComputer)
(1) まずWindows Updateで、少なくとも2025年10月のセキュリティ更新(CVE-2025-59230対応を含む)を適用済みにします。 (Microsoft)
(2) その上で、最新の累積更新も入れます(例:Windows 11 25H2/24H2ならKB5072033、Windows 10 22H2ならKB5071546など)。 (マイクロソフトサポート)
(3) VPNやPPPoEを業務で使う端末は、RasManが落ちたときの影響が直撃します。イベントログにService Control Managerのエラーが増えていないか、VPN切断が増えていないかを先に監視対象に入れてください(ここ、地味だけど効きます)。 (BleepingComputer)
(4) 暫定策として0patchのマイクロパッチを使う選択肢があります。再起動なしで当たる、とされていますが、企業はポリシーと検証が必要。個人でも「よく分からないなら無理に入れない」判断は全然アリです。 (BleepingComputer)
(5) 端末を“誰が触れるか”が最大の防御です。ローカルユーザーを絞る、不要なアカウントを消す、標準ユーザー運用を徹底する。結局ここに戻ってきます。 (NVD)
みんなの報告:RedditとXで何が言われてる?
「CVE未採番なのが不気味」「0patchで塞げるらしい」「でも公式いつ?」という温度感が多いです。 (Reddit)
Redditではニュース記事リンクが投下されていて、運用側の人が「VPN系の基盤サービス落ちるの、地味に困る」と反応している流れが見えます。 (Reddit)
X(旧Twitter)でも、日本語で「CVE未採番」「0patchが非公式パッチ」という要点が短文で共有されていて、拡散速度はそれなりに早い印象。 (X (formerly Twitter))
あと、The Registerは「実働エクスプロイト(exploit:攻撃コード)がネットに出回っている」点を強めに書いています。見かけたからといって即“流行中”と断定はできないけど、無料で落ちてるなら悪用側も拾うよね…というイヤさがある。 (ザ・レジスター)
コメント欄を盛り上げたい:あなたの環境、どのパターン?
ここ、状況が割れてくると一気に“実害の輪郭”が見えます。
あなたは「企業VPNの運用者」側ですか、それとも「在宅でVPNを使う一般ユーザー」側ですか、それとも「Server 2025など新しめを回してる管理者」側? そして、RasManが落ちた兆候(VPN切断、再接続ループ、イベントログの増加)は出ていますか。
よかったらコメントで、OS(例:Windows 11 24H2)とOSビルド(winverの数字)、VPNの種類(社内VPN/個人VPN/PPPoE)、症状の有無だけ置いていってください。細かい再現手順は不要、てか書かないでOKです。みんなで安全に状況共有しましょ。
