1. セキュリティ対策ラボ
  2. ハッカー集団・脅威アクターに関する動向
  3. WindowsのSMBサーバ権限 昇格脆弱性 CVE-2025-58726とGhost SPN/Kerberosリフレクションで権限奪取が出来る

WindowsのSMBサーバ権限 昇格脆弱性 CVE-2025-58726とGhost SPN/Kerberosリフレクションで権限奪取が出来る

ハッカー集団・脅威アクターに関する動向

投稿日時: 更新日時:

WindowsのSMBサーバ権限 昇格脆弱性 CVE-2025-58726とGhost SPNとKerberosリフレクションが権限奪取が出来る

2025年10月の月例更新でMicrosoftが修正したCVE-2025-58726(Windows SMB Server Elevation of Privilege)は、Kerberos認証のリフレクションとGhost SPN(名前解決できないSPN)の悪用により、低権限ユーザーから遠隔でSYSTEM権限を奪取できる問題です。研究者の分析では、SMB署名が未強制の環境では全てのWindowsバージョンが影響を受けます。

既存のCVE-2025-33073適用後でも成り立つ攻撃ベクトルであり、パッチ未適用かつ設定不備の環境は直ちに対策が必要です。

影響範囲と前提条件

本件が成立する主な条件は以下の通りです。どれもエンタープライズADで起こりがちな運用の隙を突いています。

  • ドメイン内の低権限ユーザーが存在(通常の利用者権限で十分)

  • SMB署名(サーバ側)が未強制

  • 対象マシンのコンピュータアカウントに、HOST/… あるいは CIFS/… のGhost SPNが残存

  • 標準ユーザーがDNSレコードを登録できる既定設定(多くのADで既定)

なぜCVE-2025-33073の後でも成立するのか

CVE-2025-33073はSMBクライアント側の特定問題に対する修正でした。今回のCVE-2025-58726はSMBサーバ側におけるKerberos反射の成立要件を突いたもので、攻撃の肝はKerberosそのものの扱いとSPN/DNSの運用不備にあります。したがって前者の適用だけでは防げません

Ghost SPNとは何か

Ghost SPNは、AD上にSPNが登録されているにもかかわらず、対応するホスト名がDNSで解決できない状態を指します。次のような要因で発生します。

  • 廃止済みホスト・エイリアスのクリーンアップ漏れ

  • 将来利用を想定した事前登録が放置

  • デプロイスクリプトの誤記や設定ミス

  • ハイブリッド/クロスフォレスト構成での到達不能名

  • LB名など直接解決されない論理名の扱い

大規模・長寿命のADではGhost SPNが自然増殖しがちで、これが攻撃の踏み台になります。

Kerberosリフレクションとは

認証リフレクションは、被害側が発した認証要求を攻撃者が再び被害側自身へ差し戻すことで、被害ホストが自分自身を信頼してしまう現象を突く手口です。

NTLMでは長年の緩和が進みましたが、Kerberosには汎用的な反射検出の仕組みが存在しないため、条件が揃うと成立してしまいます。

直ちに実施すべき対策

  1. パッチ適用(最優先)
    2025年10月の月例更新(CVE-2025-58726の修正)を全Windowsサーバ/クライアントへ速やかに適用します。

  2. SMB署名の強制
    DCだけでなく全ドメイン参加機に対してサーバ側SMB署名を必須化します。これによりSMBメッセージ改ざん/リレーの阻止力が上がり、今回のような経路も成立難易度が跳ね上がります

  3. SPNの棚卸しとGhost SPNの除去
    コンピュータ/サービスアカウントに紐づくHOST/CIFS/ を中心に解決不能名の洗い出しを行い、誤登録・残骸・不要SPNを削除/修正します。

  4. DNS更新権限の厳格化
    既定では標準ユーザーがDNSレコードを登録可能なため、動的更新の権限制御(ACL見直し)を行います。任意名の登録を抑止し、委任・承認プロセスを設けます。

  5. 強制認証の遮断(コアーション対策)
    Print Spoolerの無効化/制限、PetitPotam対策、RPCフィルタ等で強制認証トリガを潰します。不要サービスは停止・削除し、RPC/SMB到達性を最小化します。

  6. 監視とハンティング

    • TGS要求(CIFS/HOST向け)の異常検知

    • 解決不能名→突然解決可能化のDNSイベント相関

    • 署名なしSMBセッション試行/失敗の増加

    • AP-REQの不自然な往復
      をSIEMでルール化し、EDRのネットワーク可視化と合わせて横展開前に検知・遮断します。

    よくある落とし穴

    • 「DCだけ署名すれば十分」:今回は全域のSMBサーバが対象です。ファイルサーバ、運用端末、管理踏み台も必ず署名を強制してください。

    • 「CVE-2025-33073は当てた」別問題です。CVE-2025-58726の修正適用が不可欠です。

    • 「Ghost SPNは滅多にない」:長期運用のADほど残存SPNは蓄積します。一度の棚卸しで可視化されます。

     

    出典

    Exploiting Ghost SPNs and Kerberos Reflection for SMB Server Privilege Elevation

    関連記事

    Default Thumbnailゴースト ランサムウェアが70ヶ国以上の組織へ不正アクセスとサイバー攻撃 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) SAP「10月パッチデー」で脆弱性の修正17件を公開-NetWeaver AS JavaのCVSS 10.0を最優先に(CVE-2025-42944)SAP「10月パッチデー」で脆弱性の修正17件を公開-NetWeaver AS JavaのCVSS 10.0を最優先に(CVE-2025-42944) 中国製太陽光発電インバーターに潜む“見えない脅威”-太陽光発電が抱えるサイバーリスクとは中国製太陽光発電インバーターに潜む“見えない脅威”-太陽光発電が抱えるサイバーリスクとは BeyondTrustのPrivilege Management for Windowsに重大な脆弱性(CVE-2025-0889)BeyondTrustのPrivilege Management for Windowsに重大な脆弱性(CVE-2025-0889) Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706) 中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取 ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威