米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、Windowsの中核コンポーネント「Task Host(タスクホスト)」に存在する権限昇格脆弱性 CVE-2025-60710 を「実際の攻撃で悪用されている脆弱性カタログ(KEV: Known Exploited Vulnerabilities)」に追加した。連邦機関には2週間以内の対応が義務付けられており、民間企業にも速やかなパッチ適用が強く推奨されている。
Task Hostとは何か、なぜ狙われるのか
Task Host(taskhostw.exe)は、DLLベースのプロセスをバックグラウンドで動作させるための「コンテナ」として機能するWindowsのコアコンポーネントだ。シャットダウン時にプロセスを適切に終了させてデータ破損を防ぐ役割も担っており、OSの安定動作に欠かせない存在である。
今回の脆弱性は 「リンクフォロー(Link Following)」 と呼ばれる弱点に起因する。ファイルアクセス前のリンク解決が不適切なため、攻撃者が巧妙に細工したシンボリックリンクやジャンクションを使ってアクセス先を操作し、一般ユーザー権限(低権限)からSYSTEM権限へのローカル昇格を実現できてしまう。
- 影響対象: Windows 11 および Windows Server 2025
- 攻撃複雑度: 低(Low)——特別な技術は不要
- 必要な権限: 通常のローカルユーザー権限のみ
- パッチリリース日: 2025年11月のPatch Tuesday
攻撃シナリオと実際のリスク
ローカル権限での昇格脆弱性というと「物理アクセスが必要では」と思われがちだが、実際のリスクはそれだけではない。
典型的な攻撃チェーンは以下のようなパターンが想定される:
- フィッシングメールや不正なファイルなどで最初の侵入口を確保(一般ユーザー権限)
- CVE-2025-60710を使ってSYSTEM権限へ昇格
- セキュリティソフトの無効化、ラテラルムーブメント、認証情報の窃取へと展開
特にリモートデスクトップ(RDP)や共有端末環境、クラウドVDI環境では、限定的な初期アクセスから一気に全権奪取につながるため要注意だ。CISAは「この種の脆弱性は悪意ある攻撃者が頻繁に利用する攻撃ベクターであり、連邦エンタープライズに重大なリスクをもたらす」と警告している。
実務での対応ポイント
1. パッチ適用状況の即時確認
2025年11月のWindows Update(KB番号はMicrosoftのアドバイザリを参照)が適用済みかどうかを確認する。Windows UpdateのスキャンをPowerShellで一括確認する方法が効率的だ:
出典: この記事は CISA flags Windows Task Host vulnerability as exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。