サイバーセキュリティニュース
Win-DDoSで数千台のWindows DCがボットネット化|SafeBreach研究者がDEF CON 33で警告
SafeBreach社の研究者Or YairとShahak Moragが2025年8月10日、DEF CON 33セキュリティカンファレンスで新たな攻撃手法「Win-DDoS」を発表した。この手法は世界中の数千台のパブリックドメインコントローラーを悪用してDDoSボットネットを構築する技術である。
攻撃者はRPC呼び出しを送信してドメインコントローラーをCLDAPクライアント化し、LDAP参照プロセスを操作する。具体的には攻撃者のLDAPサーバーが長いLDAP参照URLリストを含む応答を返し、ドメインコントローラーが同一IPアドレスの単一ポートに繰り返しクエリを送信する。
研究では4つの脆弱性が特定された。CVE-2025-26673はWindows LDAP、CVE-2025-32724はLSASS、CVE-2025-49716はWindows Netlogon、CVE-2025-49722はWindows印刷スプーラーコンポーネントの制御されないリソース消費に関する問題である。CVSSスコアはそれぞれ7.5、7.5、7.5、5.7となっている。マイクロソフトは2025年5月から7月にかけて順次修正を行った。
この攻撃は認証不要かつゼロクリックで実行可能で、LSASSクラッシュやブルースクリーンを引き起こす可能性がある。
From: 
【編集部解説】
この Win-DDoS 技術の発見は、これまでのサイバー攻撃の常識を覆す画期的な脅威として位置づけられます。
従来のDDoSボットネットは、マルウェア感染によって数万台の一般ユーザー端末を乗っ取り、攻撃インフラとして利用する手法が主流でした。しかし、Win-DDoSは全く異なるアプローチを採用しています。攻撃者が世界中に存在する「正常に動作している」Windowsドメインコントローラーを悪用するのです。
技術的な革新性において最も注目すべき点は、認証情報の窃取やマルウェアの感染を一切必要としないということです。攻撃者はRPC呼び出しという標準的な通信手順を巧妙に操作し、ドメインコントローラーのLDAP参照機能を武器として転用します。このプロセスは完全に自動化可能で、痕跡も残しにくい特徴があります。
この攻撃手法の破壊力は、従来のボットネットと比較して圧倒的な規模にあります。一般的な感染端末と異なり、企業のドメインコントローラーは高性能なサーバーマシンであり、膨大な帯域幅を有しています。これにより、少数の攻撃対象でも従来の数千台規模のボットネットに匹敵する攻撃力を発揮します。
企業のセキュリティ体制への影響は深刻です。これまで内部ネットワークは「信頼できる領域」として扱われてきましたが、この概念が根本から揺らぎます。パブリックアクセス可能なドメインコントローラーは、クラウド移行やハイブリッド環境の普及により年々増加傾向にあり、潜在的な攻撃対象の規模は膨大です。
規制面では、既存のサイバーセキュリティ法制度の見直しが求められる可能性があります。この攻撃は既存の侵入検知システムでは発見が困難であり、ゼロトラスト原則の適用範囲を再考する必要性が浮き彫りになっています。
4つの脆弱性CVE-2025-26673、CVE-2025-32724、CVE-2025-49716、CVE-2025-49722の修正時期が2025年5月から7月にかけて段階的に行われたことは、マイクロソフトがこの脅威を深刻に受け止めている証拠です。しかし、パッチ適用の遅れや未適用環境が存在する限り、この攻撃手法は継続的な脅威となります。
将来的な展望として、この技術は他のプロトコルやサービスにも応用される可能性があります。研究者が指摘するように、「企業の脅威モデリングの前提を覆す」発見であり、セキュリティ業界全体の対応策の抜本的見直しが急務となっています。
この発見の真の価値は、攻撃手法そのものよりも、既存のITインフラの設計思想に内在する盲点を明らかにした点にあります。Tech for Human Evolutionの観点から見れば、セキュリティ技術の進歩は常に新たな脅威の発見と表裏一体であり、この循環こそがテクノロジーの進化を促進する原動力となっているのです。
【用語解説】
RPC(Remote Procedure Call)
ネットワーク上で分散しているコンピューター間において、プログラムが他のマシンのプロシージャーを呼び出すためのプロトコルである。Windowsシステムでは重要な通信機能として使用されている。
LDAP(Lightweight Directory Access Protocol)
ディレクトリサービスにアクセスするための軽量プロトコルで、Active Directoryなどの企業環境において認証情報やユーザー情報の管理に使用される。
CLDAP(Connectionless LDAP)
UDPプロトコル上で動作するLDAPの変形版で、ドメインコントローラーの検索や認証に使用される軽量な通信方式である。
LSASS(Local Security Authority Subsystem Service)
Windowsの重要なセキュリティプロセスで、ユーザー認証、パスワード変更、セキュリティポリシーの実行を担当している。
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子と呼ばれ、セキュリティホールを一意に識別するための標準的な名前付けシステムである。
BSoD(Blue Screen of Death)
Windowsで致命的なシステムエラーが発生した際に表示される青い画面で、システムが強制停止される現象である。
DEF CON
ラスベガスで毎年開催される世界最大級のハッカーカンファレンスの一つで、セキュリティ研究者による最新の発見が発表される場である。
【参考リンク】
SafeBreach公式サイト(外部)
イスラエル発のサイバーセキュリティ企業で、継続的セキュリティ検証プラットフォームのパイオニア。
Microsoft Azure DDoS Protection(外部)
分散型サービス拒否攻撃からアプリケーションとネットワークを保護する統合型防護システム。
Or Yair個人サイト(外部)
SafeBreachのセキュリティ研究チームリーダーOr Yairの公式サイト。
【参考動画】
【参考記事】
SafeBreach Labs to Showcase Original Research at Black Hat USA 2025 and DEF CON 33(外部)
SafeBreach社のプレスリリースで、Win-DDoS技術の発表予告と概要を説明。
SafeBreach Labs Publishes First PoC Exploit for CVE-2024-49113(外部)
同じ研究チームが以前に発表したLDAPNightmare脆弱性の詳細解説。
【編集部後記】
Win-DDoSの発見は、私たちが当たり前に使っているWindowsインフラの根幹に潜む盲点を浮き彫りにしました。これまで「内部ネットワークは安全」という前提で構築されてきた企業システムが、実は攻撃の踏み台にされる可能性があるという現実は、どう受け止めるべきでしょうか。
皆さんの会社や組織では、パブリックアクセス可能なドメインコントローラーの存在を把握されているでしょうか。また、この種の「認証不要・ゼロクリック」攻撃に対する防御策について、どのような議論が行われているか、ぜひ教えてください。セキュリティの常識が覆される今、私たち一人ひとりがこの変化にどう向き合うかが重要だと感じています。
皆さんのご意見や体験談をお聞かせいただけると幸いです。