2025-11-24
ShadowPadマルウェアがWSUSの脆弱性を悪用し、完全なシステムアクセスを取得
最近、MicrosoftのWindows Server Update Services(WSUS)にパッチが適用されたセキュリティの脆弱性が、攻撃者によって悪用され、ShadowPadというマルウェアが配布されています。攻撃者は、CVE-2025-59287を利用して初期アクセスを取得し、PowerCatを使用してシステムシェルを取得しました。その後、certutilとcurlを使用してShadowPadをダウンロードし、インストールしました。ShadowPadは、中国の国家支援のハッキンググループによって広く使用されているモジュラー型バックドアです。この脆弱性は、リモートコード実行を可能にし、システムレベルの権限を持つため、影響が大きいとされています。
メトリクス
このニュースのスケール度合い
5.0
/10
インパクト
8.0
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
9.0
/10
このニュースで行動が起きる/起こすべき度合い
9.0
/10
主なポイント
- ✓ 攻撃者は、WSUSが有効なWindowsサーバーをターゲットにし、CVE-2025-59287を利用して初期アクセスを取得しました。
- ✓ ShadowPadは、DLLサイドローディングを利用して実行され、さまざまなアンチ検出技術を備えています。
社会的影響
- ! この脆弱性の悪用により、企業や組織の情報が危険にさらされる可能性があります。
- ! 特に、政府機関や重要インフラに対する攻撃が懸念されており、国家安全保障に影響を及ぼす可能性があります。
編集長の意見
ShadowPadマルウェアの悪用は、サイバーセキュリティの観点から非常に深刻な問題です。CVE-2025-59287のような脆弱性が存在する限り、攻撃者は容易にシステムに侵入し、情報を盗むことができます。特に、WSUSは多くの企業で使用されているため、影響を受ける可能性が高いです。企業は、パッチを適用するだけでなく、システムの監視を強化し、異常な活動を早期に検出するための対策を講じる必要があります。また、ユーザー教育も重要であり、フィッシング攻撃や不審なリンクに対する警戒を促すことが求められます。今後、攻撃者はこの脆弱性を利用した新たな攻撃手法を開発する可能性が高く、常に最新の情報を把握し、適切な対策を講じることが重要です。サイバーセキュリティの専門家は、企業がこのような脅威に対処するための戦略を策定し、実行することを支援する役割を果たすべきです。
解説
ShadowPadがWSUSのRCE(CVE-2025-59287)を悪用──更新基盤が“侵入点と配布点”に二重化するリスクに即応すべきです
今日の深掘りポイント
- WSUSのリモートコード実行(CVE-2025-59287)が野放しに悪用され、PowerCat経由でシェル取得→certutil/curlでShadowPad投下→DLLサイドローディングで常駐という、教科書的な「LoLBin+モジュラー型バックドア」鎖で侵入が成立しています。
- 更新基盤(WSUS)は“多数端末に信頼のパスを持つ”Tier-0相当資産です。単なる1サーバ侵害ではなく、AD横展開やクライアント側持続化の起点になり得る構造的リスクが際立ちます。
- 署名検証の設計上、標準的なWSUSはMicrosoft署名を要するため、即座に“偽アップデート配信”に直行しにくい一方、第三者カタログやSCCM/ConfigMgr連携、独自コード署名を運用している組織では攻撃面が拡張します(ここは各環境の設計差が決定的です)。
- 露出面の削減(インターネット公開の排除、管理ネットワークへの閉域化)、WDAC/AppLockerでのLoLBin抑止、WSUS専用の厳格な出口制御(Microsoft更新先のみに制限)で、実用性を落とさずに攻撃連鎖を切断できます。
- 現場観点では“いま動けること”が多いインシデントです。早期パッチ、ログ・ハンティング(w3wp.exe子プロセスのcertutil/curl/PowerShell/PowerCat)、サイドローディング痕跡の調査を同時並行で走らせるべきです。
はじめに
「パッチを配るWSUS自体が侵入口になる」──この逆説は珍しくないですが、今回のケースは典型的な現実化です。公開直後のWSUS RCEを足がかりに、攻撃者はPowerCatでシェルを取り、certutil/curlといったWindows標準ツールでShadowPadを展開しています。ShadowPadは中国関連の作戦で広く観測されてきたモジュラー型バックドアで、横展開や長期潜伏の素体として機能します。更新基盤は「多くの端末に近い権限の通路」を握るため、単体侵害以上の後続リスクを必ず織り込む必要があります。
本件は緊急性・実務対応のしやすさがともに高いタイプの脅威です。即時に塞げる穴と中期的な設計見直しが明確に分かれるため、初動・恒久対策を段階分けして進めるのが合理的です。
参考: 報道はThe Hacker Newsが公表しています(技術詳細は限定的)[1]。
深掘り詳細
事実関係(現時点の公開情報)
- 攻撃者はWSUSのRCE脆弱性CVE-2025-59287を突いて初期アクセスを取得し、PowerCatでシステムシェルを確立したと報じられています。続けてcertutilやcurlを用いてShadowPadをダウンロード・設置し、DLLサイドローディングで実行しています[1]。
- 当該脆弱性は先月パッチが提供済みとされますが、公開直後から実運用環境で悪用が観測されています[1]。
- ShadowPadはモジュール式で、検出回避やプラグインによる拡張を特徴とします。今回も“既存の正規ツール(LoLBin)+サイドローディング”の合わせ技で検知面を狭めています[1]。
出典:
- [1]The Hacker News: ShadowPad malware actively exploits WSUS vulnerability(CVE-2025-59287)での配布報告 https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html
編集部インサイト(構造的リスクと運用差)
- WSUSは“配布の信頼連鎖”を握るためTier-0相当として扱うべき資産です。RCEがSYSTEM権限で成立すれば、AD連携や管理ツール(SCCM/ConfigMgr、タスクスケジューラ、PSRemoting等)を足掛かりに横展開へ移行しやすくなります。加えて、WSUS上のIISプロセス(w3wp.exe)を親とするLoLBin呼び出しは、EDR未整備の旧式サーバほど見逃されやすいです。
- 一方で、標準的なWSUSはMicrosoft署名の検証により“任意の偽アップデート”を即時にばら撒ける設計ではありません。リスクの跳ね上がりは、以下の運用要素で変動します(仮説を明示します)。
- 仮説1: 企業が第三者アップデートカタログや独自コード署名を導入し、クライアント側が当該証明書を信頼済みの場合、侵害者が署名鍵・配布設定に触れられると「アップデート経由の持続化」が現実味を帯びます。
- 仮説2: WSUSがSCCM/ConfigMgrの一部として運用され、同一サーバ上または隣接権限でアプリ配布・スクリプト配布の経路がある場合、侵害は“更新基盤→構成管理基盤”に拡大します。
- 仮説3: インターネット向けに誤ってWSUSを公開している、もしくは分散拠点のために外部露出している場合、RCEは“初期侵入点”へと格上げされ、境界防御をすり抜けるリスクが上がります。
- DLLサイドローディングは、正規署名EXEの隣に任意DLLを置く古典的な手口で、資産管理用エージェントやベンダーツールが狙われがちです。サーバ側でWDAC/AppLockerを適用していない更新基盤は、まさに“置けば動く”土壌になりやすいです。
- 運用上の肝は“出口”です。WSUSは原則Microsoft更新先にしか出ていく必要がないため、ファイアウォール/プロキシの厳格な宛先制御ができていれば、certutil/curl経由の外部取得やC2通信を早期に潰せます。機能に影響を与えずに攻撃連鎖を断てる、費用対効果の高い制御です。
脅威シナリオと影響
以下はMITRE ATT&CKに沿った仮説シナリオです。実環境により技術的詳細は異なるため、あくまでハンティング設計のひな型として捉えてください。
- シナリオA(WSUS外部露出→初期侵入)
- 初期アクセス: 公開アプリケーションの脆弱性悪用(Exploit Public-Facing Application)[T1190]
- 実行: PowerShell/Windowsコマンドシェル(PowerCat含む)[T1059.001/T1059.003]
- ツール搬入: certutil/curlでの外部取得(Ingress Tool Transfer)[T1105]
- 永続化/実行ハイジャック: DLLサイドローディング(Hijack Execution Flow: DLL Side-Loading)[T1574.002]
- 資格情報: LSASSダンプ等(OS設定に依存)[T1003.001]
- 横展開: SMB/管理共有・RDPなど(環境に応じて)[T1021.002/ T1021.001]
- C2: WebプロトコルでのC2(HTTPS)[T1071.001]
- 影響: AD管理面の奪取、スクリプト配布経路の乗っ取り、EDR殺しやログ改ざんによる長期潜伏
- シナリオB(内部侵害後の踏み台としてのWSUS)
- 既に得た社内フットホールドからWSUSを探索し、脆弱なIIS/WSUSサービスを昇格点として利用。SYSTEM権限取得後、配布設定・証明書・隣接サーバ(SCCM/SQL)に横展開。結果として管理プレーン(構成・配布・パッチ)が一挙に押さえられます。
- シナリオC(第三者カタログ/独自署名運用の場合の供給経路悪用)
- 前提: クライアントが自社のコード署名証明書を信頼し、WSUS/ConfigMgrが第三者配布を許容。
- 可能性: 署名鍵・配布ポリシーの掌握により、正規アップデートを装った持続化。これは供給経路悪用(Supply Chain)に近い位相で、検知・回復コストが跳ね上がります(あくまで運用に依存する仮説です)。
参考(MITRE ATT&CK):
- Exploit Public-Facing Application(T1190): https://attack.mitre.org/techniques/T1190/
- Windows Command Shell(T1059.003): https://attack.mitre.org/techniques/T1059/003/
- PowerShell(T1059.001): https://attack.mitre.org/techniques/T1059/001/
- Ingress Tool Transfer(T1105): https://attack.mitre.org/techniques/T1105/
- Hijack Execution Flow: DLL Side-Loading(T1574.002): https://attack.mitre.org/techniques/T1574/002/
- OS Credential Dumping: LSASS Memory(T1003.001): https://attack.mitre.org/techniques/T1003/001/
- Remote Services: SMB/Windows Admin Shares(T1021.002): https://attack.mitre.org/techniques/T1021/002/
- Application Layer Protocol: Web Protocols(T1071.001): https://attack.mitre.org/techniques/T1071/001/
編集部所感(総合評価からの含意):
- 緊急性・行動可能性が高く、かつ実環境での悪用確度が高い事案です。逆に前向きな材料は乏しいため、“いま塞げる露出面”と“設計的な恒久対策”を切り分け、優先度の高い順に潰していくのが最短です。
セキュリティ担当者のアクション
即時(0–48時間)
- パッチ適用と露出排除
- WSUS/IISサーバに当該CVEのパッチ適用を最優先で実施します。インターネット公開や不要な外部到達性があれば直ちに遮断します(管理VPN/ゼロトラ経由に限定)。
- WSUSはHTTPS(8531/TCP)を強制し、TLSと証明書の健全性を再確認します。
- ハンティング(高精度・低負荷な観点)
- 親プロセスがw3wp.exeの子として起動したcertutil、curl、powershell、cmd、powershell.exe -enc、PowerCat(powercat.ps1/実行ファイル)の有無をEDR/ログで横断確認します。
- Sysmon/Windowsイベントのプロセス作成(4688/Sysmon 1)、ネットワーク接続(Sysmon 3)、イメージロード(Sysmon 7)で、IISワーカープロセス配下の異常挙動を抽出します。
- DLLサイドローディングの痕跡(正規EXEと同一ディレクトリ上の不審DLL、ユーザー書き込み可能パスからのロード、署名不一致)を調べます。
- WSUS/IISのアクセスログ(C:\inetpub\logs...)、Update Servicesログ(C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log など)を保全・解析します。
- 専用サーバの出口制御を強化
- WSUSサーバのアウトバウンドはMicrosoft更新先と社内ミラー/上位WSUSのみに限定します。未知宛先へのHTTP/HTTPSはブロックし、プロキシ必須化を徹底します。
- 侵害兆候があれば
- サーバ隔離→揮発データ取得→フォレンジックの上で再プロビジョニング、管理資格情報の即時ローテーション(特にDomain Admin/Tier-0系)を実施します。
短期〜中期(1–4週間)
- 実行制御とLoLBin対策
- WDACまたはAppLockerで、WSUSサーバ上のcmd、powershell、cscript/wscript、certutil、curl(およびbitsadmin等)の実行を管理者承認下に制限します。サーバ用途の限定性から、業務影響を抑えつつ効果が出やすいです。
- アーキテクチャ見直し
- WSUSをTier-0に編入し、ドメインコントローラや構成管理サーバと同等のセグメント・特権管理ポリシーを適用します。
- 分散拠点・リモート端末へのパッチ戦略を再設計します(例: WUfBや配信最適化、上位WSUS経由の閉域配布)。“外部公開WSUS”は原則やめます。
- 第三者カタログ/独自コード署名を利用している場合は、鍵保護(HSM/Key Vault)、署名ワークフロー、信頼ストア配布のリスク評価を再実施します。必要に応じて一時停止と検証を行います。
- モニタリング整備
- IIS w3wp.exe子プロセスの振る舞い基準(ベースライン)を確立し、逸脱監視します。PowerShellのModule Logging、Script Block Logging、Constrained Language Modeを導入します。
- SigmaやKQL化した検知ロジックをSOCに常駐化し、レポートと手順書(プレイブック)を更新します。
長期(>1ヶ月)
- 脆弱性公開→悪用までのタイムラグを短縮する「継続パッチSLA」をWSUS等Tier-0資産に別建てで設定します。
- 事業継続観点で、更新基盤が落ちても配布を維持できる冗長構成・代替手段(上位WSUS/オフラインインポート)の手順を標準化します。
参考情報
- [1]ShadowPad malware actively exploits WSUS vulnerability(The Hacker News): https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html
- MITRE ATT&CK(技法定義)
- T1190(Exploit Public-Facing Application): https://attack.mitre.org/techniques/T1190/
- T1059.001(PowerShell): https://attack.mitre.org/techniques/T1059/001/
- T1059.003(Windows Command Shell): https://attack.mitre.org/techniques/T1059/003/
- T1105(Ingress Tool Transfer): https://attack.mitre.org/techniques/T1105/
- T1574.002(DLL Side-Loading): https://attack.mitre.org/techniques/T1574/002/
- T1003.001(LSASS Memory): https://attack.mitre.org/techniques/T1003/001/
- T1021.002(SMB/Windows Admin Shares): https://attack.mitre.org/techniques/T1021/002/
- T1071.001(Web Protocols): https://attack.mitre.org/techniques/T1071/001/
注記
- 本稿の事実関係は公開報道に基づきます。環境固有の設定(第三者カタログ、SCCM連携、署名鍵の扱い等)により影響は大きく変動します。運用差に起因する部分は仮説として明示しました。各組織の実装に即してリスク評価・対策を調整してください。
背景情報
- i CVE-2025-59287は、WSUSにおける重大なデシリアライズの脆弱性であり、リモートコード実行を可能にします。この脆弱性は、攻撃者がシステム権限でコードを実行できるため、特に危険です。
- i ShadowPadは、2015年に初めて登場したモジュラー型バックドアで、中国のスパイ活動において広く使用されています。PlugXの後継とされ、さまざまなプラグインをメモリにロードする機能を持っています。