CISAが「悪用中」とするWindowsカーネル0デイ（CVE-2025-62215）：ローカル権限昇格でSYSTEM奪取、横展開阻止が最優先です

今日の深掘りポイント

• 脆弱性はWindowsカーネルのレースコンディションによるローカル権限昇格（LPE）で、ユーザー権限からSYSTEMまで一気に到達できる性質です。初期侵入後の横展開に直結するため、ネットワーク全体への影響は大きいです。
• CISAは「実運用で悪用中」と警告しており、ゼロデイのためパッチ適用までは代替コントロールで「初期侵入の抑止」「権限昇格後の成果阻止（EDR無効化・認証情報窃取の妨害）」「横展開の検知」を組み合わせる必要があります。
• クラウド/VDI/ジャンプサーバなどマルチユーザー系のWindows環境は優先度を最上位に置き、早期パッチ計画とハンティングを並行稼働させる体制が求められます。
• メトリクス上の緊急度・実害性・悪用確度がいずれも高いシグナルを示しており、パッチ適用待ちの「時間」をどう防御で埋めるかが経営リスクの分水嶺になります。

はじめに

CISAがWindowsカーネルのゼロデイ（CVE-2025-62215）について「積極的悪用」を警告しました。性質はローカル権限昇格で、攻撃者が既にエンドポイント上で任意コード実行の足場を得た後、SYSTEM権限に到達し、EDR無効化、認証情報窃取、永続化、横展開のテンポを一気に上げる典型的な流れが想定されます。
ローカルLPEは「入口」ではないため軽視されがちですが、実際の被害規模は横展開の成否に依存します。よって「初期侵入の確率低減」と「昇格後行動の阻止・検知」を同時に実装・運用することが当面の勝ち筋になります。一次情報は限られているものの、現場は待ちの姿勢ではなく、ゼロデイ期間の現実解を積み上げる段階に入っています。

参考: CISAの警告を伝える公開情報は以下にまとまっています（一次情報の公式掲載やMSRCの詳細は更新を待つ状況です）。

• CISA warns of active exploitation of Windows kernel 0‑day（gbhackers）

深掘り詳細

事実（現時点で公表・報道されているポイント）

• 対象: Microsoft Windowsのカーネルに存在するレースコンディション起因のゼロデイ（CVE-2025-62215）です。
• 影響: ローカル攻撃者がSYSTEM権限を取得可能で、デバイスを完全に制御し得ます。
• 状況: CISAは「実際に悪用が確認された」と警告しており、重要インフラやクラウド運用企業は特に警戒対象です。
• 対応要請: Microsoftのパッチ適用を強く推奨、パッチが未提供の間は代替策の検討が必要です。
  （出典: gbhackersの報道。CISA/KEVやMSRCの一次情報は正式掲載・更新の有無を継続確認が必要です）

インサイト（実運用での含意と評価）

• ローカルLPEは「攻撃チェーンの乗数効果」を持つため、入口が平凡でも出口の被害が特大化しやすいです。例えばフィッシング経由のユーザー権限侵入が、当該LPEでSYSTEM化し、EDRの防御を弱体化（あるいは停止）させると、LSASSからの認証情報窃取や横展開が一気に現実化します。
• レースコンディション由来のカーネル脆弱性は、トリガのタイミングが限定的でテレメトリに明確なシグネチャが現れにくい傾向があります。したがって「エクスプロイトの直接検知」は難しく、「昇格後の行動」を高感度に捉える運用（サービス作成、ドライバ読込、EDR停止、LSASSアクセス、権限トークン操作など）の方が実効的です。
• クラウド/VDI/ジャンプサーバなど「多者が同一Windowsホストを共有する運用」では、単一端末のLPEがテナント横断の脆弱化を意味するわけではない一方、同一ホスト内のアカウント・プロセス間分離が破られるため、運用リスクは相対的に上がります。特に管理者用踏み台におけるLPEは、ドメイン全体の基盤リスクへ短時間で波及し得ます。
• メトリクスの示唆は「緊急度・実用性・悪用確度の高さ」が同時に立っているという点です。これは技術的難読化された限定攻撃というより、複数の攻撃者が再現・再利用しやすい性質である可能性を示唆します（仮説）。結果として、組織はパッチ待ちの“静的防御”ではなく、ハンティングと代替コントロールを含む“動的運用”へのシフトが合理的です。

脅威シナリオと影響

以下は実攻撃の傾向と過去事例に基づく仮説シナリオです。個別のTTPはMITRE ATT&CKに準拠して記載します。

• シナリオA（標的型/国家支援を想定）

  1. 初期侵入: フィッシングや脆弱ブラウザ/RCEのチェーンでユーザー権限の足場確保（TA0001）。
  2. 権限昇格: CVE-2025-62215でSYSTEM化（T1068: Exploitation for Privilege Escalation）。
  3. 防御回避: EDR停止・改変（T1562: Impair Defenses）、証跡消去（T1070: Indicator Removal）。
  4. 認証情報窃取: LSASSメモリから抽出（T1003.001）。
  5. 横展開: 管理共有/SMBやRDP（T1021.002、T1021.001）、サービス作成（T1543.003）でドメイン横展開。
  6. 目的達成: 情報窃取・長期潜伏または破壊/撹乱。
     影響: AD全体の完全性喪失、監視の盲目化、機密データ流出の長期化です。

• シナリオB（ランサムウェア/アフィリエイトを想定）

  1. 初期侵入: 有効アカウント悪用や公開RDP経由（T1078, T1021.001）。
  2. 権限昇格: CVE-2025-62215でSYSTEM化（T1068）。
  3. 永続化: スケジュールタスクやサービス作成（T1053.005, T1543.003）。
  4. 資産探索: セキュリティ製品・バックアップ検出（T1518.001）。
  5. 破壊行為: セーフモード暗号化やボリュームシャドウ削除後に全社暗号化へ。
     影響: 復旧時間・コストの増大、規制対応・信用失墜リスクの顕在化です。

• シナリオC（VDI/ジャンプサーバ内側の拡大）

  1. ユーザーセッション内で足場確保。
  2. LPEでホスト上のSYSTEM化、同一ホストの他セッションや管理者運用へ干渉（仮説）。
  3. 管理資格情報の取得・横展開。
     影響: 集約環境における「一点突破」の破壊力が高く、被害の広がりが早期に進みます。

ATT&CK参照（代表例）:

• 権限昇格: T1068（Exploitation for Privilege Escalation）
• 防御回避: T1562（Impair Defenses）, T1070（Indicator Removal）
• 認証情報: T1003.001（OS Credential Dumping: LSASS Memory）
• 永続化: T1543.003（Create or Modify System Process: Windows Service）, T1053.005（Scheduled Task）
• 横展開: T1021.002（SMB/Windows Admin Shares）, T1021.001（RDP）
• 発見: T1518.001（Software Discovery: Security Software）

（ATT&CK技術マップは一般的なローカルLPE後のTTPに基づくもので、本ゼロデイ固有の挙動は今後の一次情報で調整が必要です）

セキュリティ担当者のアクション

ゼロデイ期間の「現実解」は、パッチ適用の前後を分けて設計し、同時並行で運用することです。

• 影響範囲の特定と優先順位づけ

  • Windows資産の在庫/ビルド可視化を即時に更新し、ジャンプサーバ/VDI/端末集約サーバ/ドメインコントローラ/重要サーバを最優先レーンに振り分けます。
  • インターネット露出や外部委託/運用端末（MSPのRMM端末等）は別レーンで高優先に設定します。

• 代替コントロール（パッチまでの「攻撃者の成果阻止」）

  • EDR/EPPの改変防止・自己防衛機能を強制（Tamper Protection等）。LPE後の停止を困難化します。
  • LSA保護（RunAsPPL）/Credential Guardの有効化・検証。カーネル権限では破られる余地はあるものの、被害の即時性を下げます。
  • WDAC/デバイス制御で実行可能ファイルの拡散を制限。未知実行の成功確率を下げます。
  • HVCI/メモリ整合性を有効化できる端末には適用（互換性に留意）。カーネルエクスプロイトの難度を相対的に引き上げます。
  • 管理共有・RDPの接続元制限/JITアクセスを適用し、横展開経路を狭めます。

• 監視・ハンティング（「昇格の結果」を捉える）

  • サービス作成・ドライバ読込・高権限トークン利用・EDR停止試行を重点監視します。目安イベント:
    • Windows: 4688（新規プロセス）, 4697/7045（サービス作成）, 4672（特権割当）, 7036（サービス状態変更）
    • Sysmon: 1（ProcessCreate）, 6（DriverLoad）, 10（ProcessAccess：LSASSアクセス）
  • 中〜低整合性（Medium IL）プロセスからSYSTEMプロセスの子がぶら下がる「整合性レベル不整合」チェーンを検出します。
  • EDR禁止設定/停止コマンド・サードパーティAVの無効化痕跡、ログ消去（wevtutil/削除API）をアラート強化します。
  • LSASSアクセスの高感度検知と、直後の資格情報利用（Kerberos/NTLM異常）の相関ルールを適用します。

• 初期侵入の確率を下げる（土台対策の強化）

  • Office/スクリプト/LOLBinsに対するASRルールやメール防御の厳格化、ブラウザ/プラグインの即日更新を徹底します。
  • サーバへの対話型ログオン禁止、JEA/JIT・PAWの原則化、LAPSでローカル管理者資格情報の使い回しを排除します。

• パッチ運用（緊急レーン）

  • Microsoftの修正が出次第、優先レーン（AD/DC、ジャンプサーバ、VDIホスト、インターネット露出サーバ）から段階的に適用します。年末の変更凍結期間に入る組織は、例外承認プロセスを事前に通し、ローリング/ブルーグリーンで適用可能な計画に変換します。
  • 互換性リスクが高いサーバは、代替コントロールと監視強化をセットにした一時的リスク受容の文書化が必要です。

• インシデント対応の準備

  • 兆候検出時の初動（隔離、メモリ/ハンドル/ドライバ収集、EDRテレメトリ保全）、横展開確認（認証情報乱用/管理共有/リモートサービス）までのプレイブックを時限で更新します。
  • サードパーティ/MSPへ通達し、RMMの二要素・境界制限の再確認を行います。

最後に、当該ゼロデイは「入口」ではなく「加速装置」です。初期侵入の確率がゼロにならない限り、昇格後の成果（検知回避、資格情報、横展開）をどれだけ無力化できるかが勝負どころです。CISA/Microsoftの一次情報が更新され次第、影響バージョンやワークアラウンドの精緻化を即座に反映する体制を整えることを推奨します。

参考情報

• 報道: CISA warns of active exploitation of Windows kernel 0‑day（gbhackers）
• 公式カタログ（一次情報の確認先・随時更新）: CISA Known Exploited Vulnerabilities Catalog
• MITRE ATT&CK（技術マップの参照）: T1068 – Exploitation for Privilege Escalation / T1562 – Impair Defenses / T1003.001 – LSASS Memory