Win-DDoS：公開ドメインコントローラをDDoSボットに変える新たな攻撃手法

Win-DDoS：公開ドメインコントローラをDDoSボットに変える新たな攻撃手法

Help Net Security – August 11, 2025

世界各地の公開のドメインコントローラ（DC）を悪用してDDoS攻撃実行のためのボットネットを作り出す攻撃手法「Win-DDoS」を、SafeBreachの研究者が考案。調査過程で発見されたWindowsにおけるゼロクリックのDoSの脆弱性4件の情報とともに、8月10日公開のブログ記事に詳細をまとめた。

Win-DDoSは、コード実行や認証情報の悪用などを行うことなくDCをDDoS用ボットにする手法。SafeBreachの研究者らは、2024年12月の月例パッチで修正されたDoSの脆弱性CVE-2024-49113（通称：LDAP Nightmare）の悪用手法を探った過去の調査が後押しとなり、同様の脆弱性数件の発見に至ったという。

• CVE-2025-26673（CVSS 7.5）：Windows LDAP（Lightweight Directory Access Protocol）におけるDoSの脆弱性。2025年5月に修正済み。
• CVE-2025-32724（CVSS 7.5）：Windows LSASS（Local Security Authority Subsystem Service）におけるDoSの脆弱性。2025年6月に修正済み。
• CVE-2025-49716（CVSS 7.5）：Windows NetlogonにおけるDoSの脆弱性。2025年7月に修正済み。
• CVE-2025-49722（CVSS 7.5）：Windows Print SpoolerにおけるDoSの脆弱性。2025年7月に修正済み。

CVE-2025-26673、CVE-2025-32724、CVE-2025-49716の3件は認証されていない攻撃者によりリモートでトリガーされる恐れがあり、CVE-2025-49722の悪用にも限定的な権限（ユーザーとしての認証が必要だが、どのユーザーアカウントでも可）しか必要ないとされる。

これらを悪用するWin-DDoSの攻撃は、大まかに以下のような流れで行われるという。

• 特別に細工されたRPCコールをインターネットからアクセス可能な世界各地のDCに送り、これらのDCをCLDAPクライアントにする
• これらのDCから攻撃者のCLDAPサーバーへCLDAPリクエストを送信。これに対して攻撃者のサーバーは、UDPからTCPへの切り替えを行うため、参照応答を返して当該DCが攻撃者のLDAPサーバーを参照するようにする
• DCから攻撃者のLDAPサーバーへ、TCPでLDAPクエリを送信
• 攻撃者のLDAPサーバーは、多数のLDAP参照URLを記載したリストを含むLDAP参照応答を返す。これらのURLは、いずれも単一のIPアドレス上の単一のポートを指し示している
• 各DCがLDAPクエリを当該ポートへ送る
• このポート上のWebサーバーは、これらが予期せぬLDAPパケット（有効なHTTPパケットではない）であることから、TCP接続を終了させる
• TCP接続が切断されると、DCは前述のリスト上の次の参照URLに移るが、これも同一のポートを指し示すものであるため、同じ動きが繰り返される
• 上記は、リスト上のURLがすべて試行されるまで繰り返される

上記4件の脆弱性に対するパッチは過去にリリース済み。現在までにこれらの脆弱性の詳細とエクスプロイトモジュールが一般に公開されていることから、まだパッチを適用していない組織には早急な対応が求められる。また、SafeBreachの研究者らは、組織のあらゆるサーバーおよびエンドポイントがDDoS攻撃の標的となり得るとした上で、この種の攻撃に対する適切な緩和策を整備することを推奨した。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』