“WebDAVゼロデイ”が全Windowsを直撃──CVE-2025-33053の危険性と今すぐ取るべき対策【徹底解説】

“WebDAVゼロデイ”が全Windowsを直撃──CVE-2025-33053の危険性と今すぐ取るべき対策【徹底解説】

2025年06月11日 17:27

1. はじめに

2025年6月10日(日本時間11日未明)、マイクロソフトは 66 件の脆弱性を修正する月例パッチを公開しました。その中で唯一“悪用を確認”と明記されたのが WebDAV の CVE-2025-33053 です。techtarget.combleepingcomputer.com



WebDAV は古くからファイル共有やグループウェアで使われてきた HTTP 拡張機能ですが、近年はクラウドストレージやバックアップ製品にも組み込まれ、依然として多くの企業システムで稼働しています。本稿では脆弱性の技術的詳細から実務対策までを網羅的に解説します。




2. WebDAV とは何か ― 歴史と用途

WebDAV(RFC 4918)は HTTP を拡張し、Web サーバー上のファイルをリモート管理できるプロトコルです。1990 年代後半に提案され、Exchange Server 2003 以前のメールボックスアクセス手段としても採用されました。現在は



  • オンプレミス/クラウドのファイル共有

  • DMS(文書管理システム)のバージョン管理

  • バックアップアプライアンスのリポジトリ

  • モバイルアプリのデータ同期
    など多様な用途で生き残っています。securitybrief.co.nz




3. 脆弱性 CVE-2025-33053 の概要

項目内容
CVE 番号CVE-2025-33053
重要度CVSS 8.8(重要/Important)
種別リモートコード実行(RCE)
影響範囲Windows 10/11、Windows Server 2016 以降、WebDAV モジュールを有効にした IIS・Apache・Nginx 等
条件特別に細工された WebDAV URL または .url ファイルをユーザーが開く
悪用状況APT 〝Stealth Falcon〟による標的型攻撃を確認
暫定策WebClient サービス停止/WebDAV 機能の削除



本欠陥は WebDAV の作業ディレクトリ操作に起因し、攻撃者が遠隔サーバー上の悪意ある実行ファイルを被害端末にロードさせられます。research.checkpoint.com
ユーザーは正規の診断ツール iediagcmd.exe 等を呼び出すショートカットを開くだけで感染し、バックグラウンドで侵入チェーンが進行します。




4. 攻撃チェーンと「Stealth Falcon」事例

Check Point Research は 2025 年3 月、トルコの防衛企業へのフィッシング攻撃を解析し、本脆弱性を突く未知の Horus Loader を発見しました。攻撃フローは以下の通りです。research.checkpoint.com


  1. .url ファイルを添付したスピアフィッシングメール送信

  2. URL を開くと WorkingDirectory が攻撃者 WebDAV サーバーへ変更

  3. 正規ツールが同サーバー上の偽装 route.exe を実行

  4. Horus Loader が多段デコードで Horus Agent を Edge プロセスにインジェクション

  5. Horus Agent が C2 と通信し情報窃取・追加ペイロード展開


Stealth Falcon は中東・北アフリカの政府系機関を継続的に監視してきた APT で、ゼロデイ購入・自作マルウェアの使用歴が長いと報告されています。




5. 影響を受ける製品・バージョン

  • Windows クライアント:Windows 10 22H2、Windows 11 23H2 などサポート中全系統

  • Windows Server:Server 2016/2019/2022/2025

  • IIS(WebDAV 拡張有効)

  • Apache mod_dav / Nginx WebDAV modules / SabreDAV などプロトコル実装ライブラリ

  • クラウドストレージ:Nextcloud、ownCloud 等 WebDAV API 提供サービス
    これらは全て MSRC の更新プログラム対象、または CISA の KEV カタログに “影響の可能性あり” として列挙されています。cisa.govcrowdstrike.com




6. 悪用状況とゼロデイの経緯

TechTarget や BleepingComputer の分析によれば、CVE-2025-33053 は パッチ公開前から実際に悪用 されており、クリック一つでペイロードが走る点が評価基準を“重要”から実質的に“クリティカル相当”へ押し上げています。techtarget.combleepingcomputer.com
Microsoft が最後に WebDAV 関連ゼロデイを公開したのは 2018 年で、約 7 年ぶりの再燃となりました。securitybrief.co.nz




7. マイクロソフトのパッチ内容と適用手順

  • Windows Update/WSUS/MECM:2025-06 累積更新プログラム(KB5060999 など)に含まれる

  • セキュリティ専用パッチ路線(Server 2012 R2 ESU など):OS 更新+IE(MSHTML)パッチ両方が必須

  • 再起動要件:パッチ適用後にシステム再起動が必要
    適用確認は winver および wmic qfe list で KB 番号を確認します。パッチ適用前後で WebClient サービスの自動起動設定が戻る場合があるため、既に手動で停止している環境はポリシーで固定すると安全です。techtarget.comrapid7.com




8. 今すぐできる緊急回避策

  1. WebClient サービスの停止

    powershell
    Stop-Service -Name WebClient
Set-Service  -Name WebClient -StartupType Disabled

    これにより URL 形式の WebDAV 呼び出しを無効化できます。rapid7.com

  2. IIS/Apache/Nginx 上で不要な WebDAV モジュールを無効化

  3. SMTP ゲートウェイで .url 添付ファイルをブロック

  4. EDR で zedocmd.exe, iediagcmd.exe など LOLBin 実行を監視

  5. グループポリシーで外部 WebDAV マウントを禁止

  6. 侵害指標(IOC)のハンティング

    • WebDAV パス \\<domain>@ssl@443/DavWWWRoot\* へのアクセスログ

    • Horus Loader の Code Virtualizer 署名(シリアルなし)




9. 中長期で求められるセキュリティ強化ポイント

  • プロトコル棚卸し:レガシー WebDAV 依存を排除し、SMB over HTTPS や S3 API などモダンな代替手段へ移行する

  • 最小権限の徹底:ファイル共有サーバーは分離ネットワークに配置し、認証を OAuth2/OpenID Connect へ統一

  • マイクロサービス化:共有機能をゲートウェイでラップし、個別サービスに直接露出させない

  • 脆弱性管理ライフサイクルの短縮:SBOM と継続的スキャンで未パッチ機器を 48 h 以内に検知・修正

  • セキュリティ演習:DevSecOps チームに WebDAV 経由のサプライチェーン侵害シナリオを組み込み、対応力を検証

  • IoC 自動共有:MISP/TAXII による組織内外への Horus Agent ハッシュ・C2 リストリアルタイム伝播




10. まとめと今後の展望

CVE-2025-33053 は「古いプロトコルでもゼロデイは起こり得る」ことを改めて示しました。WebDAV を直接使わない企業でも、クラウドストレージやバックアップ機器が裏側で利用している場合があります。マイクロソフトのパッチ適用はもちろん、サービス停止・ログ監視といった即効性のある防御を今すぐ実施し、長期的にはレガシープロトコルの廃止とゼロトラストへの移行が不可欠です。影響範囲の広さゆえに PoC コードの公開や亜種攻撃の登場も予想されるため、引き続き公式情報と脅威インテリジェンスを注視してください。golem.debleepingcomputer.com






参考記事一覧

  • Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」(2025-06-10)golem.de

  • TechTarget「June Patch Tuesday resolves Windows zero-day」(2025-06-10)techtarget.com

  • Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」(2025-06-10)research.checkpoint.com

  • BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」(2025-06-10)bleepingcomputer.com

  • CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」(2025-06-10)cisa.gov

  • Rapid7 Blog「Patch Tuesday – June 2025」(2025-06-10)rapid7.com

  • Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」(2025-06-10)tenable.com



ユーザーが危険にさらされる:WindowsのWebDAVの脆弱性が積極的に悪用される
出典: https://www.golem.de/news/nutzer-gefaehrdet-webdav-luecke-in-windows-wird-aktiv-ausgenutzt-2506-197011.html

← 記事一覧に戻る