Windowsの「Remote Access Connection Manager(リモート アクセス接続マネージャー)」、通称RasManをめぐって、“ただのクラッシュ”に見えるゼロデイ(zero-day:未修正の脆弱性)が、条件次第でSYSTEM権限のコード実行チェーンを成立させうる──そんな話が2025年12月中旬に一気に広まりました。VPNを使う在宅ワーカー、社内VPNを抱える情シス、RDSや拠点間接続を見てる管理者は、いまのうちに状況整理しておくとラクです。 (bleepingcomputer.com)
- 発生日時と「どの脆弱性の話?」を最初に整理
- RasManって何が困るサービス?
- なぜ「クラッシュ」だけで終わらない話になるのか
- 原因は循環リンクリストの論理エラー
- 公式対応状況:Microsoftはどう言ってる?
- 今すぐできる対処:一般ユーザー向け
- 企業/管理者向け:監視と判断のコツ
- 他ユーザーの報告:Xやフォーラムで何が言われてる?
- ここから先の論点:CVE未採番と“暫定パッチ”をどう扱う?
- コメント欄テンプレ:あなたの環境を置いてって
発生日時と「どの脆弱性の話?」を最初に整理
今回の主役は“CVE未採番のRasMan DoS(サービス妨害)ゼロデイ”で、CVE-2025-59230はその“組み合わせ相手”です。 (blog.0patch.com)
時系列でいくと、まずCVE-2025-59230(RasManの特権昇格、Elevation of Privilege:権限昇格)が、2025年10月の月例更新(Patch Tuesday)で修正され、しかも「攻撃で悪用済み」と整理されました。 (Tenable®)
その後、0patch(マイクロパッチ提供)側がCVE-2025-59230の解析中に、別の“未修正のDoSゼロデイ”を掘り当て、2025年12月12日に無償の暫定パッチ提供を告知。ここからニュース化が加速します。 (blog.0patch.com)
そして一部メディアでは「任意コード実行が可能」と強めの見出しで語られますが、そこには“2段階の条件”がある、というのが落とし穴っぽい所です。 (Cyber Security News)
RasManって何が困るサービス?
RasManはVPNやPPPoE(Point-to-Point Protocol over Ethernet:PPPoE)などのリモート接続を管理し、SYSTEM権限で常駐します。 (bleepingcomputer.com)
つまり、落ちると「VPNが切れる」「再接続できない」「社内リソースに届かない」みたいな実害が出やすい。しかも権限が強いので、攻撃側から見ると“踏み台候補”にもなり得る。ここ、地味にイヤなんですよね…。
なぜ「クラッシュ」だけで終わらない話になるのか
ポイントは“RasManが動いていない瞬間に、別プロセスがRasManになりすましてRPCエンドポイントを握れる”という設計上のクセです。 (blog.0patch.com)
CVE-2025-59230の筋書きはざっくりこうです。RasMan起動時にRPC endpoint(RPCエンドポイント)を登録し、他の(より強い権限の)サービスがそこを“信頼して”つなぎに来る。ところがRasManが停止していると、攻撃者側が同じエンドポイントを先に登録して、信頼関係を悪用できてしまう、という流れ。 (blog.0patch.com)
ただ、現実のWindowsはRasManが普通に自動起動するので、「停止させられないと、この手口が決まりにくい」。そこで“2段階目”として、RasManを任意にクラッシュさせるDoSゼロデイが効いてきます。 (bleepingcomputer.com)
原因は循環リンクリストの論理エラー
クラッシュ原因は、循環リンクリスト(circular linked list:輪っか状のリスト)走査中のNULLポインタ処理が破綻してメモリアクセス違反になる、というものです。 (Cyber Security News)
報告されている説明だと、「NULLなら抜ける」つもりの防御コードが入っているのに、実際には抜けずにNULLをデリファレンス(dereference:参照)してしまいクラッシュ、というタイプ。テスト環境だと“正常な輪っか”しか来ない前提で動いてしまい、NULLが来たときの挙動が見落とされやすい…みたいな話が添えられています。 (blog.0patch.com)
公式対応状況:Microsoftはどう言ってる?
Microsoftは「DoS問題は把握しており将来の修正で対応する」としつつ、「10月パッチ適用済みならCVE-2025-59230の権限昇格は防げる」とコメントしています。 (ザ・レジスター)
ここ、安心していいのか問題が出ます。10月パッチが当たっていれば“EoP(権限昇格)としての穴”は塞がれている、というのがMicrosoft側の立場。とはいえ、DoS自体は別件で残るし、運用的にはVPN断などの可用性(availability:使えること)リスクが残る。だから「放置でOK」とは言いにくい、って感じです。
今すぐできる対処:一般ユーザー向け
結論から言うと、まず“2025年10月のWindows更新を確実に適用”が最優先で、次に“DoS暫定策を採るか”を用途で決めるのが現実解です。 (Tenable®)
(1) 設定の「Windows Update」から更新を確認し、2025年10月のセキュリティ更新が未適用なら最優先で当てます。
(2) PCでVPNを使っていて、最近「急に切れる」「接続が不安定」などがあるなら、イベントログでRasMan停止の痕跡がないか見ます(完全に分からなくてもOK、まずは症状メモで十分)。
(3) “再起動なしの暫定パッチ”が必要な事情がある人だけ、0patchのマイクロパッチを検討します。無料で提供される方針ですが、導入は社内ルール次第、ここは焦って突っ込むと後でしんどいです…たぶん。 (blog.0patch.com)
※0patch導入手順そのものは各組織の許可・検証フローが絡むので、ここでは“やり方”より判断軸に寄せました。勝手導入はマジでdon't(やめとこ)になりがち。
企業/管理者向け:監視と判断のコツ
この話は“リモートから即RCE”ではなく、まずローカル足場が前提になりやすいので、入口対策と権限管理が効きます。 (bleepingcomputer.com)
とはいえチェーンとしては分かりやすいので、やることも割と決まります。10月更新適用の棚卸し、ローカル一般ユーザー権限の乱用防止、EDRでのサービス異常終了監視、RasManが落ちた端末の隔離判断ルール。ここまで揃うと「DoSが来ても、被害を“止める”」方向に寄せられます。 (bleepingcomputer.com)
なお、12月の月例でもRasMan関連の特権昇格CVEが複数並んでいて、RasMan周辺は“当面ホット”な気配です。パッチ運用の優先度を上げておくと、後で助かります。 (FM World)
他ユーザーの報告:Xやフォーラムで何が言われてる?
現場の空気は「CVE未採番だけど、0patchが動いた=警戒は必要」「VPN切断が出たらまずRasMan疑え」寄りです。 (X (formerly Twitter))
Xでは、日本語圏でも「CVE未採番のDoSゼロデイ」「0patchが暫定パッチ公開」「連鎖でSYSTEM権限のコード実行が成立し得る」という要約が流れていて、情報の回りは速いです。 (X (formerly Twitter))
海外だと、The Registerが「エクスプロイトがオンラインで出回っている」点と、Microsoftコメント(将来修正/10月パッチでEoPは保護)を追記していて、温度感としては“放置しないがパニックもしない”の中間くらい。 (ザ・レジスター)
ここから先の論点:CVE未採番と“暫定パッチ”をどう扱う?
いちばん揉めるのは「CVEがない=重要じゃない」では全くなくて、「検証してないコードを本番に入れる怖さ」との天秤、ここです。 (blog.0patch.com)
0patchは“軽量で再起動不要”を売りにしています。たしかに運用には刺さる。でも組織によっては、ベンダー外パッチは監査・責任分界の観点で通らない。なのでコメント欄、ここで割れそうです。あなたの現場だと、0patchってアリ? ナシ?
コメント欄テンプレ:あなたの環境を置いてって
「OS」「VPN利用」「10月パッチ状況」「RasManが落ちたか」を書くだけで、同じ症状の人が集まりやすくなります。
(1) OS:Windows 11 24H2 / 23H2、Windows 10 22H2、Windows Server 2019/2022/2025 など
(2) VPN:使ってる/使ってない、製品名(分かれば)
(3) 2025年10月の更新:入ってる/怪しい/分からない
(4) 症状:VPNが切れる、RasMan停止っぽい、再起動で直る、など
(5) 対応:0patch入れた/見送り/社内検証中
最後に。いま話題の「循環リンクリストの論理エラーでクラッシュ」は単体だとDoSに見えます。でも“サービスが止まった瞬間”が価値になる設計だと、攻撃者はそこを必ず拾いに来る。だから、10月更新の適用だけは先に片付けておくのが、いちばんコスパいい守りです。 (bleepingcomputer.com)
