TokyoBlackHatNews

esecurityplanet.com 5分で読了

Windows PowerShell の欠陥により攻撃者が悪意あるコードを実行可能に

新たに公開された Windows PowerShell の脆弱性により、攻撃者が影響を受けるシステム上で悪意あるコードを実行できる可能性があり、Windows クライアントおよびサーバー環境全体で組織のリスクが高まっています。 

この脆弱性は「…認可されていない攻撃者がローカルでコードを実行できる」ものだと、Microsoft は勧告の中で述べています。

PowerShell リスクの理解

CVE-2025-54100は CVSS スコア 7.8 を持ち、条件がそろった場合には任意コード実行を可能にするおそれがあります。 

このケースでは、PowerShell が特定の入力シーケンスを正しくサニタイズできず、攻撃者が悪意ある文字やペイロードを埋め込んで、意図されたコマンド構造を変更できてしまいます。 

処理時に、こうした細工されたコマンドは通常の構文解析ルールから逸脱し、意図しない実行パスを引き起こすことで、実質的に攻撃者に対し、影響を受けるユーザーのコンテキスト内で任意のコードを実行する能力を与えてしまいます。

Microsoft は現時点で、この脆弱性が悪用される可能性を低いと評価していますが、その評価は主に、ローカルアクセスとユーザー操作が必要であること、たとえば被害者をだまして悪意あるスクリプトを実行させたり、改ざんされたファイルを開かせたり、細工されたコマンドを実行させたりする必要がある点を反映しています。 

しかし、この脆弱性が公開されたことで状況は変わります。特に PowerShell が管理業務や自動化タスクで広く使われている環境では、脅威アクターはしばしばソーシャルエンジニアリングを用いてローカルアクセス要件を実質的に乗り越えます。

リスクを高めるもう一つの要因は、この脆弱性が Windows 10、Windows 11、そして 2008 から 2025 までの Windows Server エディションを含む、ほぼすべてのサポート対象 Windows バージョンに広く影響することです。 

PowerShell はシステム管理、DevOps ワークフロー、セキュリティツールの基盤となっているため、そのコマンド処理ロジックに欠陥があると、脆弱な環境においてラテラルムーブメント(横移動)から権限昇格に至るまで、さまざまな攻撃を可能にしてしまいます。

この欠陥が公開されていることに加え、PowerShell がエンタープライズ環境全体で広く利用されていることを踏まえると、迅速なパッチ適用が重要になります。 

たとえ悪用に特定の条件が必要だとしても、攻撃者はしばしば小さな弱点を組み合わせてより大きな影響を生み出すため、積極的な対策が一層求められます。

PowerShell セキュリティを強化する方法

組織は、構成の強化、アクセス制御の厳格化、監視の改善を組み合わせた多層的アプローチを取ることで、PowerShell に関連するリスクを低減できます。 

  • 影響を受けるすべての Windows バージョンに最新の Microsoft セキュリティ更新プログラムを適用し、必要に応じてシステムを再起動します。
  • スクリプトブロック ログ、モジュール ログ、トランスクリプション ログなどの高度な PowerShell 保護機能を有効化し、推奨されるその他のセキュリティ設定を適用します。
  • PowerShell に対して最小権限アクセスを徹底し、管理者アカウントを制限するとともに、可能であれば古いバージョンの PowerShell を無効化します。
  • AppLocker や Windows Defender Application Control などのアプリケーション制御ソリューションを使用し、信頼されたスクリプトのみが実行されるようにします。
  • 監視を強化し、エンコードされたコマンド、想定外のスクリプト起動、不審なリモート動作などの異常な PowerShell アクティビティを検知します。
  • PowerShell の実行ポリシーを強化し、Constrained Language Mode や署名ベースの実行要件の適用を検討します。
  • ユーザーおよび管理者を教育し、信頼できないコマンドやファイルを実行しないようにするとともに、悪意ある PowerShell の利用を検知するEDRや攻撃面削減ルールでこれを支援します。

これらの対策を組み合わせることで、更新プログラム、構成の強化、監視を通じて PowerShell の悪用を抑制し、異常なアクティビティの検知能力を高めることで、組織は PowerShell セキュリティの態勢を強化できます。 

組織リスクにおける PowerShell の役割

CVE-2025-54100 の公開は、PowerShell のような広く利用されている管理ツールを保護するうえで、組織が直面する実務的な課題を浮き彫りにしています。 

PowerShell は多様な環境で自動化やシステム管理を支えているため、そのコア機能に弱点があると、たとえ悪用の可能性が低い場合でも、対処が重要なリスクを生み出す可能性があります。 

組織が自動化やスクリプトワークフローを拡大し続ける中で、タイムリーな更新と堅牢な構成管理を維持することは、個別の問題がより広範な運用上の影響を引き起こさないようにするうえで役立ちます。

こうした課題は、組織が暗黙の信頼を前提としないセキュリティモデル、たとえば ゼロトラストの原則を採用することの有用性を改めて示しています。

翻訳元: https://www.esecurityplanet.com/threats/windows-powershell-flaw-allows-attackers-to-execute-malicious-code/

ソース: esecurityplanet.com
#CVE-2025-54100 #PowerShellログ監視と検知 #PowerShell入力サニタイズ不備 #Windows PowerShell脆弱性 #Windowsサーバーセキュリティ #Windowsセキュリティアップデート #エンタープライズセキュリティ #ゼロトラストセキュリティ #任意コード実行 #権限管理と最小権限原則

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布