投稿日時: 更新日時:
2025年10月14日、Microsoft(マイクロソフト)はASP.NET Core(Kestrel)においてHTTPリクエスト/レスポンスの解釈不一致(CWE-444)に起因する脆弱性「CVE-2025-55315」への対処を公表しました。
目次
対応状況と提供されている修正
-
公式ステータス:Official Fix(公的修正提供済み)、悪用は未確認。
-
関連製品:ASP.NET Core(Kestrel)、.NET ランタイム/SDK、Visual Studio 2022 などにセキュリティ更新が順次提供されています。
概要
公開時点で悪用は確認されておらず、公表もされていないため「Exploitation Less Likely」としています。CVSS v3.1の基本値は9.9と非常に高く、条件次第ではフロントエンドのセキュリティ制御をすり抜けて別のHTTP要求を紛れ込ませることが可能になります。
一方、外部記事では未認証での攻撃が可能になる構成もありうると警鐘が鳴らされており、実際のリスクは各システムの実装や周辺コンポーネント(リバースプロキシ/WAF等)との組み合わせに大きく依存します。機密性の高いデータを扱うアプリケーションでは、最悪シナリオを前提に即時の更新が推奨されます。
影響範囲と想定リスク
-
対象コンポーネント:ASP.NET Core のKestrel Webサーバ(.NET 2.3/8.0/9.0系の影響を受ける構成)
-
攻撃成立条件:Microsoftの評価では権限要件は「低(PR:L)」で、ユーザー操作は不要(UI:N)、ネットワーク越し(AV:N)で、スコープ変更(S:C)が発生し得ます。
-
想定される結果:フロントエンド制御の迂回、二重送信・行分割等によるリクエストの混入(Smuggling)、その結果として
-
資格情報・セッションの窃取(機密性:高)
-
ファイル内容の改変等(完全性:高)
-
プロセス障害の誘発(可用性:低)
が起こり得ます。
-
※ Microsoftの公式FAQは「認証済み攻撃者が悪性HTTPリクエストを送ることで悪用可能」と説明しています。運用中の認証・フロント側機構の前提が崩れる構成では、未認証に見える経路が生じる場合もあるため、実装・経路の棚卸しが重要です。
緊急対策(開発・運用の実務手順)
.NET 8 以降で稼働している場合
-
Windows Update / Microsoft Update から .NET セキュリティ更新を適用します。
-
アプリケーションの再起動またはOS再起動を行います。
-
逆プロキシ(IIS、Nginx、Apache等)やWAFを併用している場合は、ヘッダー分割や曖昧な改行・長さ不一致を拒否する設定を有効化し、ログで不整合を監視します。
.NET 2.3 系を使用している場合
-
プロジェクトの依存関係で
Microsoft.AspNet.Server.Kestrel.Coreを「2.3.6」へ更新します。 -
再コンパイルし、再デプロイします。
-
依存パッケージのロックファイルを更新し、CI/CDで確実に新バージョンが反映されるよう確認します。
自己完結型(Self-contained)/単一ファイル配布アプリの場合
-
最新の .NET 更新を取得した上で、アプリをリビルドします。
-
再デプロイ後、実運用経路でHTTP/1.1 と HTTP/2 の双方を用いた回帰テストを実施します。
影響評価とチェックリスト
-
どの経路でKestrelを露出しているか(直結/リバースプロキシ配下/ロードバランサ配下)を棚卸しします。
-
ヘッダー改行(CR/LF)、Content-Length と Transfer-Encoding の競合、複数Hostヘッダーなど、スミuggling誘発要素をフロントでブロックできているかを確認します。
-
APIゲートウェイ/WAFの署名更新とアノマリ検知(不正な二重送信・行分割・不可解な再送)のアラート閾値を見直します。
-
直近のアクセスログで、不自然な分割・重複・サイズ不一致がないかをスポット検査します。
-
ビルド済みコンテナや自己完結配布物を利用している場合、ベースイメージ/ランタイムの更新と再発行を徹底します。
関連記事
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
中国しんきん健康保険組合がヒロケイのランサムウェア感染により個人情報漏洩の可能性
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
悪意のあるPyPi パッケージがDiscord 開発者を標的にする
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング
Microsoft、Windows 10で緊急アップデート公開—ESU登録不具合を修正(KB5071959)
Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108)
Microsoft、Excel(エクセル)の外部リンクを制限へ-高リスクファイルタイプの自動ブロックを開始
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)