イスラエルの脅威インテリジェンス企業ClearSky Cyber Securityが、新たなWindowsのゼロデイ脆弱性が中国のAPT(高度持続的脅威)グループ「Mustang Panda」に悪用されていると警告した。この脆弱性はCVEがまだ割り当てられていない未公表のものとされ、Microsoftも認識しているが、深刻度は「低」と分類している。

攻撃の手口としては、RARファイルから展開されたファイルがユーザーから見えなくなるという点が特徴だ。Windowsエクスプローラー上ではフォルダが空のように表示されるが、コマンドプロンプトで確認すると存在が確認でき、正確なパスを知っていれば実行も可能となる。

この挙動を利用して、攻撃者は悪意のあるファイルを隠蔽し、検出を回避できる可能性がある。Microsoftは定期的なセキュリティアップデート「Patch Tuesday」で複数の脆弱性を修正しているが、今回の問題への対応についてはまだ明確な情報は示されていない。ClearSkyは今後詳細な分析を公開するとしており、今後の動向が注目される。

Mustang Pandaが悪用するWindowsのゼロデイ脆弱性とは何か

ClearSky Cyber Securityが報告したWindowsのゼロデイ脆弱性は、従来の攻撃手法とは異なる特徴を持つ。この脆弱性を悪用することで、RARファイルから展開されたデータがWindowsエクスプローラー上で見えなくなるが、システム内部では確かに存在し、特定の方法でアクセス可能な状態が維持される。

Mustang Pandaは、この挙動を利用し、不正なファイルを隠蔽することで、ユーザーやセキュリティソフトの監視を逃れている可能性がある。

具体的な攻撃手法として、攻撃者はまずRARファイルを用いて悪意のあるプログラムを隠し、標的がこれを展開することで攻撃の足掛かりを作る。エクスプローラー上ではフォルダが空のように見えるため、一般のユーザーが不審に思うことは少ない。しかし、コマンドプロンプトを使用すれば、これらの隠されたファイルは実行可能となるため、バックドアやマルウェアの配布が容易になると考えられる。

Mustang Pandaは以前から中国のサイバースパイ活動に関与しているとされ、政府関連機関や企業を標的にすることが多い。今回のゼロデイ脆弱性の悪用も、特定の情報を狙った標的型攻撃の一環である可能性が高い。Microsoftがこの脆弱性を「低深刻度」と分類していることも問題視されており、修正パッチの提供が遅れれば、被害が拡大する恐れがある。

Microsoftの対応とPatch Tuesdayの限界

Microsoftは定期的に「Patch Tuesday」としてWindowsの脆弱性修正を行っているが、ゼロデイ脆弱性に対する対応の遅れが指摘されることも多い。今回の脆弱性についても、Microsoftは既に認識しているものの、深刻度を「低」としており、迅速な対応が期待できるかは不透明な状況にある。

最新のPatch Tuesdayでは、CVE-2025-21391やCVE-2025-21418など50以上の脆弱性が修正されたが、今回のMustang Pandaによるゼロデイ攻撃に関する修正は含まれていない。Microsoftはセキュリティパッチの優先順位を決定する際、広範囲に影響を及ぼすかどうかを重視する傾向があるため、今回のような隠れたファイルを悪用する攻撃が、すぐに対応されるかどうかは不透明だ。

ゼロデイ脆弱性は、攻撃者にとって非常に価値のあるツールであり、特に国家レベルのサイバー攻撃においては、長期間秘匿されて使用されることが多い。Microsoftの対応が遅れることで、Mustang PandaのようなAPTグループはこの脆弱性を長期間利用し続ける可能性がある。企業や個人ユーザーにとっては、未知の脅威に対する防御策が求められる状況だ。

ユーザーが取るべき対策と今後のリスク

この脆弱性に対して、現時点でMicrosoftからの修正パッチは提供されていないが、ユーザーが自衛策を講じることは可能だ。まず、信頼できないRARファイルの展開を控えることが重要である。特に、不審なメールの添付ファイルや、信頼できないダウンロードリンクから取得したアーカイブには細心の注意を払うべきだ。

また、コマンドプロンプトを用いて、展開したファイルが適切に表示されているか確認することも一つの対策となる。dir コマンドを使用すれば、フォルダ内に隠されたファイルが存在しているかどうかをチェックできる。さらに、セキュリティ対策ソフトを最新の状態に保ち、不審なアクティビティを検知できる環境を整えておくことも推奨される。

今後のリスクとして、Mustang Pandaがこのゼロデイ脆弱性をさらに発展させ、新たな攻撃手法を生み出す可能性がある点が懸念される。Microsoftがパッチを公開するまでの間に、この脆弱性を悪用した攻撃が急増する可能性があるため、企業や研究機関は特に注意が必要だ。ClearSkyが今後発表する詳細な技術情報を確認しつつ、適切な防御策を講じることが求められるだろう。

Source:SecurityWeek