CVE-2025-47981：Windows SPNEGO拡張ネゴシエーションにおける重大なヒープベースのバッファオーバーフロー脆弱性（リモートコード実行を引き起こす)

Windowsを搭載した14億台以上のデバイスとMicrosoft 365やAzureの広範な採用により、Microsoft技術は現代の企業インフラの基盤を形成し続けています。しかし、この普及率の高さが脅威アクターにとって魅力的な攻撃対象ともなっています。2025年版BeyondTrust Microsoft脆弱性レポートの調査結果によると、2024年には過去最多となる1,360件のMicrosoft関連脆弱性が報告され、前年から11％増加しており、攻撃対象領域の拡大を示しています。

この増加傾向は、Microsoftの最新のPatch Tuesdayにも反映されており、130件の脆弱性が修正され、その中には重大なCVE-2025-47981も含まれています。これはWindowsのSPNEGO拡張ネゴシエーションにおけるヒープベースのバッファオーバーフロー（CVSSスコア9.8）であり、リモートコード実行を可能にします。脅威アクターがMicrosoftのコアコンポーネントをますます悪用する中、防御側は迅速な検知と緩和を優先すべきです。

SOC Primeプラットフォームに登録すると、リアルタイムのCTIと厳選された検出アルゴリズムを提供するグローバルなアクティブ脅威フィードにアクセスできます。セキュリティチームは「CVE」タグ付きの文脈情報が豊富なSigmaルールの大規模コレクションを探索でき、AI搭載の検出エンジニアリング、自動脅威ハンティング、高度な脅威検出を支える完全な製品スイートを利用可能です。

すべてのルールは複数のSIEM、EDR、データレイク形式に対応しており、MITRE ATT&CKフレームワークにマッピングされています。さらに各ルールには、CTIリンク、攻撃タイムライン、監査設定、トリアージ推奨事項など、関連するコンテキストが付与されています。検知を探るボタンを押して、「CVE」タグでフィルタリングされた重大脆弱性に対する積極的防御のための検出スタック全体を確認できます。

検知を探る

セキュリティエンジニアは、Uncoder AIも活用可能です。これは、脅威に基づく検出エンジニアリングのために設計されたプライベートでエージェント非依存のAIです。Uncoderを使えば、IOCを自動的に実用的なハンティングクエリに変換し、生の脅威レポートから検出ルールを作成し、ATT&CKタグの予測を有効化し、AI駆動のクエリ最適化を活用し、複数プラットフォーム間で検出コンテンツを翻訳できます。

CVE-2025-47981の分析

2025年7月のPatch Tuesdayでは、Microsoftは130件のセキュリティ脆弱性の修正を展開しました。その中には、WindowsおよびWindows Serverに影響を及ぼす重大かつワーム可能なRCE脆弱性、CVE-2025-47981が含まれています。

CVE-2025-47981は、SPNEGO拡張ネゴシエーション機構におけるヒープベースのバッファオーバーフロー脆弱性で、CVSSスコアは9.8の高得点です。攻撃者は特別に細工したメッセージを脆弱なシステムに送信することでこの脆弱性を悪用でき、ユーザーの操作は不要です。コードは特権昇格した状態で実行されるため、ワーム化可能です。Microsoftはこの脆弱性の悪用可能性を最高レベルと評価しており、30日以内の悪用が予想されています。

このパッチは、多数のWindowsおよびWindows Serverバージョンのセキュリティ更新プログラムに含まれています。 Microsoftは、この脆弱性がGPOのデフォルト設定によりWindows 10（バージョン1607以降）に影響を与えると指摘しています。そのため、タイムリーなパッチ適用がCVE-2025-47981の最も現実的な緩和策となります。Qualys Threat Research UnitのSaeed Abbasi氏は、インターネットに公開されたシステム、VPNアクセス可能な資産、およびActive Directoryと連携するシステムのアップデートを優先すべきだと推奨しています。パッチ適用が困難なシステムでは、PKU2U GPO設定を無効化し、ネットワーク境界でポート135、445、5985の着信をブロックすることが有効です。

拡大し続ける攻撃対象領域に先んじるために、組織はSOC Primeの高度な専門知識とAIを活用できます。検出ルールマーケットプレイス、脅威ハンティング自動化、検出エンジニアリング、AIネイティブ脅威インテリジェンスなど、多彩な機能によりSOCを革新可能です。 SOC PrimeのAIと自動化、実用的なCTIを備えた完全な製品群を利用し、ゼロトラストの原則に基づいて構築することで、セキュリティチームは脆弱性悪用やその他の新興脅威によるリスクを効果的に最小化できます。