Microsoft WSUS に存在した深刻な脆弱性が、修正公開後も攻撃者によって積極的に悪用されていると報告されています。韓国のセキュリティ機関が調査した事例では、この欠陥を足がかりに「ShadowPad」マルウェアが企業サーバーへ送り込まれており、公開されたPoCの影響で攻撃が急増しているとされています。日本企業においても、WSUS サーバーの公開状況や設定を確認するきっかけとなり得る事案です。
The Hacker News:ShadowPad Malware Actively Exploits WSUS Vulnerability for Full System Access
この記事のポイント
影響のあるシステム
- Microsoft Windows Server Update Services(WSUS)
- CVE-2025-59287 の影響を受ける未パッチの WSUS 環境
- 外部公開され、認証なしでアクセス可能な WSUS サーバー
推奨される対策
- Microsoft が公開した CVE-2025-59287 のパッチを即時適用する
- WSUS サーバーを外部に公開しない構成へ変更する
- certutil.exe や curl.exe の異常実行を監視する
- DLLサイドローディングの痕跡(ETDCtrlHelper.exe / ETDApix.dll)を確認する
- 外部通信ログに「149.28.78[.]189:42306」のアクセスがないか確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2025-59287:WSUS のデシリアライズ脆弱性。攻撃者が SYSTEM 権限でリモートコード実行できる可能性があります。
- ShadowPad:PlugX の後継とされる高度なバックドア型マルウェア。国家支援グループが利用すると報告されています。
- DLLサイドローディング:正規アプリが読み込む DLL を悪意ある DLL に置き換え、マルウェアを実行する手法です。
- PowerCat:PowerShell ベースの Netcat 互換ツール。攻撃者がリモートシェルを取得する際に悪用することがあります。
WSUS脆弱性が悪用される背景と企業への影響
今回報告された攻撃では、Microsoft の WSUS に存在した CVE-2025-59287 が初期侵入の入り口として利用されていたとされています。この脆弱性はデシリアライズ処理に問題があり、攻撃者が細工したリクエストを送り込むことで SYSTEM 権限を取得できる点が特に危険です。WSUS は Windows 更新管理の中心に位置付けられるため、侵害されるとサーバー全体への横展開や内部ネットワークへのアクセス拡大が生じやすく、影響範囲が大きいことが指摘されています。また公開されたPoCにより攻撃の敷居が下がったことで、継続的な悪用が続いている可能性があります。このため国内企業でも、未パッチの WSUS が外部公開されていないか確認しておくことが推奨されます。
ShadowPadによる侵害手法と追跡された攻撃の流れ
調査によると攻撃者は、脆弱性を利用して WSUS サーバーに侵入した後、PowerCat を用いてコマンド実行権限を取得し、続けて certutil や curl を起動して外部サーバーから ShadowPad をダウンロードしていました。特に「ETDCtrlHelper.exe」を利用した DLL サイドローディングが行われており、「ETDApix.dll」がメモリ上でバックドアのローダーとして動作する仕組みが確認されています。ShadowPadは複数のプラグインを動的にロードし、検知回避や持続化手法を備えているため、侵害後の追跡は困難になる可能性があります。また、攻撃では Velociraptor のような正規ツールを併用した活動も観測されており、一般的な管理操作に紛れる形で継続的な操作が行われるリスクも指摘されています。
国内組織が直ちに確認すべきポイント
日本の組織にとって最も重要なのは、「自社のWSUS環境が脆弱な状態で外部公開されていないか」を即座に確認することです。特にクラウド環境や拠点間接続のために誤ってインターネットに開放された WSUS は、攻撃者にとって標的とされる可能性があります。また、certutil.exe や curl.exe が WSUS サーバー上で不自然に実行されていないか、ETDCtrlHelper.exe による DLL ロードの痕跡がないかなど、内部のログ調査も有効です。さらに、外部との通信先に「149.28.78[.]189:42306」が含まれていれば、今回の攻撃手法と一致する可能性があるため、不審な通信が確認された場合は、隔離や調査の検討が必要とされます。今回の事例は、管理系サーバーの公開設定や運用監視の重要性を改めて示しており、今回の事例は、脆弱性管理体制の重要性を改めて示すものとなっています。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
