マイクロソフトは、数年間にわたり実際の攻撃で悪用されてきたWindowsの長年の欠陥に、ひそかにパッチを適用しました。この修正は、同社がこれまで問題への対処にほとんど緊急性を示してこなかったにもかかわらず、11月の「Patch Tuesday」リリースで提供されました。この動きは、0patchのデータによって明らかになったもので、同社は2017年以降、複数の脅威グループがこの欠陥を積極的に悪用していたと報告しています。
CVE-2025-9491として指定されたこの脆弱性は、WindowsがLNKショートカットファイルを処理する方法に起因していました。ユーザーインターフェイス上の欠陥により、ショートカットに埋め込まれたコマンドの一部が、ファイルのプロパティを表示した際に見えないままになる問題があったのです。これにより、悪意ある攻撃者は、一見無害なファイルを装って任意のコードを実行できました。研究者らは、これらのショートカットが不可視文字を用い、文書ファイルを装うなど、ユーザーを欺くよう巧妙に作成されていたと指摘しています。
最初の詳細な報告は、2025年春に公開され、中国、イラン、北朝鮮に関連する11の国家支援グループが、この仕組みをスパイ活動、データ窃取作戦、金銭目的の攻撃に利用していたことが明らかになりました。当時、この欠陥はZDI-CAN-25373としても追跡されていました。マイクロソフトはその時点で、この問題は緊急の修正を要するものではないとし、多くのOfficeアプリケーションにおけるLNKブロック機能や、ユーザーがそのようなファイルを開こうとした際に表示されるシステム警告など、既存の保護機能を理由として挙げていました。
その後、HarfangLabは、XDSpyグループがこの脆弱性を悪用し、東欧の政府機関を標的とした攻撃でXDigoマルウェアを配布していたと報告しました。2025年秋には、Arctic Wolfが新たな悪用の波を記録しており、今度は中国のネットワークオペレーターがPlugXマルウェアファミリーを用いて、欧州の外交・政府機関を標的としていたことが判明しました。それでもなお、マイクロソフトは、ユーザーの操作が必要であることや、組み込みのシステムプロンプトが存在することを理由に、この欠陥を重大とは見なさない姿勢を繰り返していました。
0patchによると、問題は末尾のコマンドデータが隠される点にとどまりませんでした。LNK形式では、数万文字に及ぶコマンド文字列を指定できますが、プロパティウィンドウには最初の260文字しか表示されず、残りは黙って切り捨てられていました。これにより、攻撃者は実行されるコマンドの大部分を隠すことが可能になっていたのです。0patchによるサードパーティ製パッチは、別のアプローチを取り、260文字を超える引数を含むショートカットが開かれた際に警告を表示する機能を追加していました。
マイクロソフト自身のアップデートでは、ターゲットフィールドを拡張し、以前の文字数制限を超える場合でもコマンド全体が表示されるようにすることで、この欠陥を解消しました。問い合わせへの回答の中で、同社の担当者はパッチの提供を明示的には認めず、代わりに一般的なセキュリティのベストプラクティスに言及し、マイクロソフトがインターフェイスと防御メカニズムの改善を継続していることを強調しました。
