編集部
WindowsのCommon Log File System(CLFS)におけるゼロデイ脆弱性「CVE-2025-29824」が発見され、脅威アクターStorm-2460がこれを悪用した高度なランサムウェア攻撃が確認された。攻撃は米国やスペイン、サウジアラビアなど複数国の業界に及び、Microsoftは2025年4月8日に緊急パッチを公開して対応に乗り出している。
この脆弱性を突いたマルウェア「PipeMagic」は、WindowsのcertutilやAPIコールバックを活用し、権限昇格からファイル暗号化、復旧妨害まで一連の流れを自動化。特にWindows 11バージョン24H2未満の環境では深刻な影響が懸念される。Microsoftはエンドポイント防御やクラウド保護の強化を呼びかけており、今後も類似手法の波及が警戒される状況である。
Storm-2460が展開するPipeMagicの実行プロセスとゼロデイの連携
脅威アクター「Storm-2460」は、CLFSのゼロデイ脆弱性「CVE-2025-29824」を悪用するため、複数の手順を段階的に展開している。まず、Windowsの標準ツールであるcertutilを用いて、侵害済みの外部サイトから悪意あるMSBuildファイルをダウンロード。これが解読された後、EnumCalendarInfoA APIのコールバック経由でマルウェア「PipeMagic」が実行される仕組みである。実行された後はdllhost.exeが介在し、メモリ上で脆弱性のエクスプロイトが進行。RtlSetAllBits APIを通じてプロセストークンを上書きし、最終的に攻撃者は完全な管理者権限を獲得する。
このエクスプロイトにはNtQuerySystemInformation APIも用いられ、カーネル領域のアドレスを漏洩させる仕組みが組み込まれているが、Windows 11のバージョン24H2では該当情報へのアクセスが制限されており、少なくともこの手法に関しては封じ込めが可能とされる。つまり、脆弱なOS環境では、既存のプロセスやツールがそのまま攻撃の踏み台となるリスクがあることが浮き彫りになっている。攻撃者はこの一連の流れを自動化しており、従来のランサムウェアとは比較にならないほど洗練された手法で対象に侵入している。
ランサムウェアの痕跡とRansomEXXとの関係性
PipeMagicによる攻撃の後半では、winlogon.exeへのペイロードインジェクションやprocdump.exeを用いたLSASSメモリのダンプなどが実行される。これにより、攻撃者はユーザーの認証情報を収集し、ネットワーク内での横展開を可能とする。その後、dllhost.exeを通じてランサムウェアが起動され、暗号化されたファイルにはランダムな拡張子が付与。加えて「!READ_ME_REXX2!.txt」という名称の身代金要求文が生成される。ここにはRansomEXXファミリーに関連する2つの.onionドメインが記載されており、過去の攻撃パターンとの接点も指摘されている。
暗号化対象の選定やバックアップ削除コマンドの使用(wbadmin delete catalogやbcdedit /set {default} recoveryenabled noなど)からは、復旧を困難にする意図が明確に見える。また、Windowsのイベントログを削除するwevtutil clも使われており、痕跡を隠ぺいする高度な隠蔽工作も組み込まれている。これらの行動は、技術的な難易度だけでなく、事前の綿密な準備と対象環境に関する深い理解を前提としている。従来の単純なファイル暗号型ランサムウェアとは一線を画する点といえる。
緊急パッチとCLFSの構造的リスク
Microsoftは2025年4月8日、CLFSの脆弱性に対する緊急パッチをリリースし、特にWindows 11バージョン24H2においてはこのゼロデイを利用したエクスプロイト手法が無効化されていると明言した。これにより、一部の新バージョンでは既にリスクが封じられている状態にある。しかし、依然として多くの環境が旧バージョンを利用しており、未更新のシステムは依然として危険に晒されているのが現状である。加えて、CLFSがログ管理の中核を担うモジュールであるという構造的特徴が、攻撃対象としての魅力を高めている要因ともなっている。
この脆弱性の厄介さは、標準権限しか持たない攻撃者が短時間でシステム権限を取得できる点にある。日常的に使われるプロセスやファイルパス(例:C:\ProgramData\SkyPDF\PDUDrv.blf)が悪用の舞台となることで、外見上は異常が見えづらくなる。結果として、定期的なパッチ適用だけでなく、権限管理やEDRの運用、Defenderのクラウド保護といった多層的な対策の重要性が増している。構造そのものに起因するリスクに対し、従来以上に戦略的かつ即時的な対応が求められている。
Source:Cyber Security News