WSUSの重大な脆弱性(CVE-2025-59287)から考えるWSUS移行の最適解
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 若林
こんにちは。セキュリティ担当の若林です。
先日、WSUS(Windows Server Update Services)に深刻な脆弱性が報告され、緊急パッチがリリースされました。
すでに脆弱性の悪用が観察された報告もあり、放置すると社内システムが危険にさらされる可能性があります。
そこで今回は、当該脆弱性の概要とWSUSの今後のリスクおよび移行先についてご紹介します。
目次
1.今回のWSUSの脆弱性(CVE-2025-59287)の概要
2025年10月23日、マイクロソフトがWSUS(Windows Server Update Services)の脆弱性「CVE-2025-59287」を報告し、定例外の緊急パッチをリリースしました。
CVE-2025-59287は、2025年後半に公表された脅威の中でも、極めてクリティカルなものの一つとして位置づけられます。
本脆弱性は、認証されていないリモートの攻撃者がSYSTEM権限でのリモートコード実行を可能にします。攻撃が成功すると、WSUSサーバーに対する即時かつ完全な制御を奪われる恐れがあります。
以下はWSUSが外部公開されている場合の例です。
懸念される攻撃例として、AD(Active Directory)を介した詳細なネットワークの収集や偽装された悪意のあるパッチの配布が挙げられます。
WSUSを外部公開していないからといって、油断は禁物です。
近年、不正に入手した正規のID/Passwordを悪用するなど初期侵入のハードルが低くなっています。
WSUSはそもそも高信頼を前提にした権威のある位置付けなので、管理対象のサーバやPCだけでなく、グループポリシーを管理するAD(Active Directory)ともつながっています。
外部公開時と同様に、攻撃者はWSUSを攻撃することで、ADを介して社内NW情報を丸裸にできるだけでなく、WSUS機能を悪用して不正プログラムの配布などの横展開が可能になります。
上記のように、本脆弱性が悪用されると攻撃者はWSUSサーバーを制御し、社内ネットワーク情報の窃取や不正プログラムの配布の実行が可能になります。
その結果、ランサムウェアの全社感染、機密データの流出、サプライチェーン攻撃の踏み台など、事業継続に直結する深刻な被害へ発展するリスクがあります。
2.脆弱性対策の基本はパッチ適用
WSUS(Windows Server Update Services)は、組織内のWindows端末に対するMicrosoft製品の更新プログラムを、社内サーバから一括で配布・承認・可視化するための仕組みです。
更新配信の集中管理ができるため、IT運用にとって重要な役割を担っています。
このWSUSがサイバー攻撃を受けてしまうと以下のような影響が想定されます。
| No. | 主な影響 | 概要 |
|---|---|---|
| 1 | アップデートの妨害・遅延・ロールバック | セキュリティ更新を止める。 脆弱な古い更新を再適用して脆弱性を再導入。 |
| 2 | 悪意ある更新選択の承認 | 脆弱なドライバ更新(正規署名でも脆弱)を意図的に配布し、カーネル権限獲得の足掛かりにされる可能性。 |
| 3 | 供給網的な横展開 | 多数端末に一斉に設定変更やポリシー的影響(更新リングや対象グループ操作)を及ぼし、組織全体のリスクが連鎖。 |
| 4 | 偽装や監視回避 | レポート改ざんによりパッチ適用状況の可視性を失い、インシデント検知が遅延。 |
| 5 | 情報漏えい | 端末インベントリ情報(ホスト名、OS/パッチ状況)が流出し、攻撃の標的選定に悪用。 |
| 6 | 通信経路の悪用 | WSUSがHTTP運用や不適切なTLS設定の場合、改ざん・中間者攻撃リスクが上昇。 |
| 7 | サーバ踏み台化 | WSUS/IIS/SQLの権限を起点にドメイン内で横移動。 補足: Windowsは更新ペイロードの署名検証を行うため、完全な偽更新の配布は困難ですが、更新の「選択・タイミング・対象」を握られるだけでも、十分に重大な被害につながる。 |
これらの攻撃リスクを低減するには、「いかに迅速かつ的確にパッチを適用するか」が重要となります。脆弱性が公表されているにもかかわらず未適用の状態のまま放置することは、攻撃者に対して無防備と言っても過言ではありません。
パッチ適用はセキュリティ対策の基本中の基本であり、組織の防御力を維持・向上させる最も効果的な手段です。
3.開発終了したWSUSが抱えるリスク
2024年9月、マイクロソフトはWSUSの将来的な廃止計画を発表しました。
それに伴い、WSUSに対する新たな開発や機能追加も終了する方針を示しました。
これにより、重大な脆弱性が発見されても対応が遅れる、あるいは緊急パッチが提供されない可能性があります。
結果として、WSUSサーバーは高いセキュリティリスクに晒され続けることとなり、開発終了後も継続して利用することは、組織としてリスクを負い続けることとなります。
そのため、WSUSから他のパッチ配信ツールへの移行を早めに検討していく必要があると考えます。
4.WSUSの移行先
WSUSの移行先を検討するにあたり、選択肢が多く、お困りの方も多いのではないでしょうか。
WSUSと同じMicrosoftが提供するパッチ管理ソリューションを移行先とする場合、Microsoft製OSのパッチ管理のみが対象となり、Microsoft以外のOSやソフトウェアのパッチを管理することができません。
しかし、利用中のOSやソフトウェア全体のパッチ管理は重要であり、セキュリティレベルを向上させるうえで不可欠です。
このような課題に対して「BigFix」による解決が可能となります。
BigFixは、Windowsに限らず多種多様なOSに対応しており、パッチ管理機能や優れた帯域制御機能などを備えた製品です。
パッチ管理においては、初回適用率98%以上という高いパッチ適用率を有しています。
パッチ配信においてスケジューリングや停止機能、特定パッチの除外といった柔軟な制御が可能で、業務影響を最小化することができます。
また、メーカーよりパッチ配信定義が提供されるため、パッチのリリースから配布までを迅速かつ的確に実施することができ、管理者の作業負荷を低減させることができます。
さらに、帯域制御の面にも強みがあり、柔軟な帯域制御ができるため、細い回線でも安定した配信が可能になります。
これにより、パッチ配布時に業務帯域が逼迫して通常業務が滞ってしまうといったパッチ適用業務のよくある課題を解消できます。
詳しくはこちらをご覧ください。
5.おわりに
今回発表された脆弱性は、IT運用にとって重要な役割であるWSUSサーバーの制御を完全に奪われる恐れがあります。
まずは早急にパッチを適用し、被害の拡大を防ぐことが大切です。
そして、今回に限らず、普段からパッチをきちんと適用することがセキュリティ対策の基本であり、最も効果的です。
また、WSUSは開発終了が予定されているため、開発終了後も継続して利用することでリスクが高まります。
WSUSの移行先をご検討中の方は、弊社へお問い合わせください。
Microsoft製品のパッチ適用における課題の詳細はこちらをご確認ください。
