2025年6月、WindowsのSMBクライアントに発見された脆弱性「CVE-2025-33073」が、セキュリティ業界で大きな話題となっています。この脆弱性は、攻撃者がリモートからSYSTEM権限を奪取できるという、企業にとって極めて深刻な脅威です。
私はフォレンジックアナリストとして数多くのサイバー攻撃事案を調査してきましたが、このような権限昇格の脆弱性は、特に中小企業において甚大な被害をもたらす可能性があります。
実際のサイバー攻撃事例から見る脅威の実態
昨年、私が調査した製造業A社(従業員150名)の事例では、類似の権限昇格攻撃により、攻撃者が社内ネットワーク全体にアクセスし、顧客データベースから約2万件の個人情報が流出しました。被害総額は復旧費用を含め約800万円に上り、信頼回復には1年以上を要しました。
今回のCVE-2025-33073は、NTLMリフレクション攻撃という古典的手法を現代的にリニューアルしたものです。攻撃者はPetitPotamなどのツールを使用し、Windows内部のlsass.exeに強制的に認証要求を発生させます。通常であれば防がれるべき自己認証が、DNS名の巧妙な操作により迂回され、最終的にSYSTEMトークンのリレーが可能になってしまいます。
中小企業が直面する現実的な脅威シナリオ
この脆弱性が特に危険なのは、SMB署名が無効な環境での攻撃成功率の高さです。多くの中小企業では、パフォーマンスを優先してSMB署名を無効にしているケースが散見されます。
実際に私が関わった建設業B社(従業員80名)の事例では、社内のファイルサーバーがSMB署名無効の状態で運用されており、外部からの侵入後、わずか数時間でドメイン管理者権限を奪取されました。攻撃者はその後、設計図面や顧客情報を含む機密データ約5GBを窃取し、ランサムウェアを展開しました。
Kerberos認証も安全ではない現実
注目すべきは、この脆弱性がNTLMだけでなくKerberos認証でも悪用可能な点です。KerbCreateSKeyEntryやKerbSKeyListといった内部データ構造の悪用により、Kerberos環境でもSYSTEMトークンの生成が可能になります。
これは多くの企業が「Kerberosに移行すれば安全」と考えていた前提を覆すものです。設計的な不備により、「対象が自マシンであるかどうか」の判定にDNS名のみを使用している点が根本問題となっています。
フォレンジック調査で見えた攻撃の実態
GitHubで公開されている実証コード(PoC)を分析すると、ntlmrelayx.pyやkrbrelayx.pyといった既存ツールとの組み合わせで、比較的簡単にSYSTEM権限獲得とローカルSAMハッシュの取得が可能になることが分かります。
過去の調査事例では、このような権限昇格攻撃が発見されるまでに平均して3週間程度かかっています。その間に攻撃者は内部偵察、横展開、データ窃取を完了させることが多く、発見時には既に手遅れの状態になっているケースがほとんどです。
現実的な対策とセキュリティ強化
Microsoftは6月のパッチで修正を提供済みですが、パッチ適用だけでは十分ではありません。総合的なセキュリティ対策が必要です。
特に重要なのは、エンドポイントでのリアルタイム監視です。現在のアンチウイルスソフト
は、このような権限昇格攻撃の兆候を早期に検出し、被害拡大を防ぐ重要な役割を果たします。従来型のウイルス対策ソフトでは検出困難な、このような高度な攻撃手法に対応できる製品の導入が急務です。
また、テレワークが常態化した現在、社外からの不正アクセスを防ぐVPN
の重要性も高まっています。内部ネットワークへの直接的なアクセスを制限することで、このような攻撃の影響を大幅に軽減できます。
まとめ:包括的なセキュリティ戦略の必要性
CVE-2025-33073は、現代のサイバー攻撃の巧妙さと、従来の防御手法の限界を示す典型例です。パッチ適用はもちろん重要ですが、それに加えてエンドポイント保護、ネットワーク監視、アクセス制御の包括的な実装が不可欠です。
特に中小企業においては、限られたリソースの中で最大の効果を得るため、信頼性の高いセキュリティソリューションの選択が重要になります。この脆弱性を教訓として、自社のセキュリティ体制を見直すことをお勧めします。
一次情報または関連リンク
Windows SMBクライアントの脆弱性CVE-2025-33073に関する詳細情報
