2025年12月中旬、Windowsの中核サービス「Remote Access Connection Manager(RasMan=リモートアクセス接続マネージャー)」で、非管理者でもサービスをクラッシュ(DoS=Denial of Service:サービス妨害)させられる未修正の欠陥が報じられました。
単体だと“落ちるだけ”に見えますが、2025年10月に修正済みの権限昇格(Elevation of Privilege:EoP)脆弱性CVE-2025-59230と組み合わさると、条件がそろった環境でSYSTEM権限の任意コード実行(arbitrary code execution:任意の命令実行)に繋がり得る、というのが今回のキモです。 (bleepingcomputer.com)
- まず結論:危ないのは「RasManを落として、すり替える」流れ
- 発生日時:いつ何が起きたのか(時系列)
- 技術的な原因:循環リンクリストの“想定”が崩れた瞬間に落ちる
- 影響範囲:Windows 7〜11 / Server 2008 R2〜Server 2025まで広い
- 公式対応状況:10月は修正済み、12月のDoSは「将来対応」扱い
- いま取るべき対処:一番現実的なのは「10月以降の更新を確実に」
- みんなの報告:SNS/フォーラムで何が言われてる?
- コメント欄を盛り上げたいので、これだけ教えて(テンプレ)
- ひとつだけ考察: “DoSは軽い”が通用しない時代になった
まず結論:危ないのは「RasManを落として、すり替える」流れ
今回ヤバいのは、RasManが“止まった瞬間”を攻撃側が自分で作れてしまう点です。 (bleepingcomputer.com)
CVE-2025-59230は「RasManが起動時に登録するRPC endpoint(RPC=Remote Procedure Call:遠隔手続き呼び出しの窓口)を、RasManが動いていない間に別プロセスが先に名乗れてしまう」タイプの不備だと説明されています。(gbhackers.com)
本来ここ、RasManが自動起動するので“先取り”が難しい。ところが今回のDoSゼロデイで、攻撃者がRasManを意図的にクラッシュ→再起動の隙を作る→先取り、の道が見えてくるわけです。(bleepingcomputer.com)
発生日時:いつ何が起きたのか(時系列)
時系列で見ると「10月の修正を、12月の別バグが現実寄りにした」という構図です。 (NVD)
2025年10月14日(Patch Tuesday=月例更新)に、MicrosoftはCVE-2025-59230を修正しました(不適切なアクセス制御=CWE-284)。(NVD)
その後、2025年12月12日ごろに0patch側が「CVE-2025-59230調査中に見つかった、CVE未採番のDoSゼロデイ」として無料のマイクロパッチ(micropatch:差分パッチ)を公開、同時期に“動くエクスプロイトが出回っている”という指摘も出ています。(blog.0patch.com)
2025年12月15日にはGBHackersでも「任意コード実行に繋がり得る」として整理記事が出て、話が一気に広まりました。(gbhackers.com)
技術的な原因:循環リンクリストの“想定”が崩れた瞬間に落ちる
原因は、循環リンクリスト(circular linked list:輪っか状につながるリスト)走査中のNULLポインタ処理の論理ミスです。 (bleepingcomputer.com)
説明を噛み砕くとこうです。RasMan内部で「次、次、次…」とノードをたどっていき、最初の要素に戻ったら終了、という作りを想定している。ここで“防御的”にNULLチェックを入れているのに、NULLだった場合にループを抜けず、NULLから次ポインタを読みに行ってメモリアクセス違反(access violation)→サービスクラッシュ、という流れが示されています。(blog.0patch.com)
プログラミング的に言うと「循環リストは常に正しく構築されているはず」という前提が、入力や状態の揺れで崩れた時の逃げ方が変、ってやつ。地味だけど、こういうのが一番こわい…。(blog.0patch.com)
影響範囲:Windows 7〜11 / Server 2008 R2〜Server 2025まで広い
影響が広い理由は、RasManが“OSの標準機能として長く残っている”からです。 (bleepingcomputer.com)
報道ベースでは、DoSゼロデイはWindows 7〜Windows 11、Windows Server 2008 R2〜Server 2025まで未修正とされています(CVE未採番)。(bleepingcomputer.com)
そしてCVE-2025-59230自体は「ローカルの認証済みユーザーが、低い権限からSYSTEMへ権限昇格し得る」タイプで、NVDではCVSS v3.1が7.8(High)として掲載されています。(NVD)
在宅VPN、企業のAlways On VPN、PPPoEを使う端末、あるいは踏み台(initial foothold:侵入の足場)を作られた後の横展開、どれでも話が成立しうるので、一般ユーザーより“企業・情シス・管理者”の胃が痛くなる系です。(bleepingcomputer.com)
公式対応状況:10月は修正済み、12月のDoSは「将来対応」扱い
2025年12月16日(日本時間)時点で、DoSゼロデイはCVE未採番で公式パッチも未提供、という整理が妥当です。 (bleepingcomputer.com)
MicrosoftはBleepingComputerに対して「このDoS問題は把握しており将来の修正で対応する」とコメントしたと報じられています。一方で「10月のCVE-2025-59230修正を適用済みなら、EoP側の悪用からは保護される」とも述べた、という形です。(bleepingcomputer.com)
また、CVE-2025-59230は2025年10月にCISAのKEV(Known Exploited Vulnerabilities:悪用確認済み)カタログ入りした経緯もあり、そもそも10月パッチは“後回しにしちゃダメ”枠でした。(CISA)
いま取るべき対処:一番現実的なのは「10月以降の更新を確実に」
結局いちばん効くのは、CVE-2025-59230を含む2025年10月以降のWindows更新を確実に入れることです。 (NVD)
(1) Windows Updateで、少なくとも2025年10月14日公開分以降の累積更新を適用します(CVE-2025-59230対策のコア)。(NVD)
(2) 企業端末なら、パッチ適用状況を資産管理で“CVE-2025-59230が塞がっているか”まで落として確認します(KB番号は環境で変わるので、CVE基準がラク)。(NVD)
(3) どうしても更新が遅れる、または検証待ちで止めたい現場は、0patchのマイクロパッチを暫定採用する選択肢が出ています(無料提供は“公式が出るまで”という説明)。(blog.0patch.com)
(4) RasMan依存のVPN端末では、イベントログでRasManの異常終了や再起動が増えていないか監視します。突然VPNが切れる系の“体感不具合”として出ることがあるので、ここは早期検知ポイント。(bleepingcomputer.com)
(5) 端末に一般ユーザーが多い環境ほど、ローカル侵入後の連鎖が怖いので、ローカル管理者の棚卸し、不要アカウント整理、アプリ実行制御など“踏み台を作られにくくする”側も一緒に。(eSecurity Planet)
(6) 使っていないならRasMan停止も理屈上はありですが、VPN/PPPoEが死ぬので「止めたら仕事が止まる」環境では現実的じゃないことが多いです。(bleepingcomputer.com)
みんなの報告:SNS/フォーラムで何が言われてる?
体感としては「VPNが切れる」「RasManが落ちる」系の話題から入ってくる人が多い印象です。 (エラー大全集)
「RasMan内部の循環リンクリスト処理に論理欠陥があり、NULLポインタ処理不備で非特権ユーザーでもサービスをクラッシュさせられる」 (X (formerly Twitter))
r/SecOpsDailyでも0patch記事共有が回っていて、“未修正DoSがEoP連鎖のパーツになる”という受け止めが目立ちます。 (Reddit)
The Registerの読者コメントでは「linked listは単純だけど足を撃つ」みたいな空気感も。わかる、わかるよ…。 (forums.theregister.com)
ここ、あなたの環境だとどうです?「VPNが急に切れた」って“障害”として見てたら、実はセキュリティの入口だった、みたいな逆流が起きやすいネタです。
コメント欄を盛り上げたいので、これだけ教えて(テンプレ)
コメントは“環境+症状+いつから”が揃うと、同じ沼の人を救えます。
OS:Windows 10/11、Server、バージョン(例:22H2/24H2 など)
利用:VPN(製品名あれば)/PPPoE/使ってない
症状:RasManが落ちる、VPN切断、イベントログのエラー増加…
発生時期:2025年12月◯日ごろから、など
対処:10月以降の更新適用済み? 0patch入れた? まだ?
ひとこと:再現条件っぽいもの(スリープ復帰後とか)
ひとつだけ考察: “DoSは軽い”が通用しない時代になった
DoSは単独だと地味でも、「条件を作る装置」になると一気に危険度が跳ねます。 (blog.0patch.com)
今回まさにそれで、RasManが止まる=RPC endpointの取り合いが発生する、という“隙”を攻撃者が好きに作れるのが本質です。だから話が「ただのクラッシュ」から「任意コード実行の足場」に変わる。
あなたなら、0patchを入れてでも止血しますか? それとも“公式待ち”で走り切りますか。現場の判断、けっこう分かれると思うので、ぜひコメントで殴り合…じゃなくて議論しましょ。
