出典: Westend61 GmbH via Alamy Stock Photo
Microsoftのスクリプトエンジンの脆弱性がゼロデイとして野外で悪用され、認証されていない攻撃者がリモートコード実行(RCE)を達成しました。
Microsoftは攻撃の範囲や性質についての詳細を公開していませんが、このバグ(CVE-2025-30397、CVSS 7.5)はメモリ破損の問題であり、IEモードのEdgeブラウザのユーザーを特別に作成されたリンクを悪意のあるウェブページやメールでクリックさせることで悪用される可能性があります。
「このバグは興味深いもので、EdgeをInternet Explorerモードに強制的に切り替えるため、IEの亡霊が私たちを悩ませ続ける」と、Trend MicroのZero-Day Initiative(ZDI)の脅威認識責任者であるDustin Childs氏はPatch Tuesday分析で述べています。「Microsoftはこれらの攻撃がどれほど広範囲に及んでいるかについて情報を提供していませんが、この修正を迅速にテストして展開することをお勧めします。」
パッチ適用がすぐにできない場合、組織は「グループポリシーの管理テンプレートを使用してInternet Explorer 11をスタンドアロンブラウザとして無効にするべきです」とAutomoxのセキュリティマネージャーであるRyan Braunstein氏は分析で書いています。また、「ビジネスに不可欠なアプリケーションがまだIEモードを必要とする場合は移行計画を開始し、ユーザーを教育すること — フィッシングの認識とトレーニングが最初の防御線です。」と助言しています。
関連:EUのバグデータベースは脆弱性追跡に何を意味するのか?
今月は合計で75の新しいCVEがあり、そのうち12がクリティカルとされ、2つは公に知られているがまだ悪用されていないものです。
4つのMicrosoft EoPゼロデイが積極的に悪用されている
CVE-2025-30397は、Microsoftの2025年5月のPatch Tuesdayアップデートでリストされた5つの積極的に悪用されているゼロデイの1つで、すべて「重要」と評価されています。他の4つは、SYSTEMへの特権昇格を可能にするさまざまなWindowsコンポーネントの特権昇格(EoP)欠陥です(CVE-2025-30400、CVE-2025-32709、CVE-2025-32701、およびCVE-2025-32706)。
「これらのバグは通常、システムを乗っ取るためのコード実行バグと組み合わせられます」とChilds氏は説明しています。「すべてのEoPバグはフィッシングやランサムウェアで一般的に使用されるため、その低い深刻度に惑わされないでください。これらのパッチを迅速にテストして展開することをお勧めします。」
TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は、CVE-2025-32701とCVE-2025-32706の両方がWindowsの共通ログファイルシステム(CLFS)ドライバーに影響を与えると指摘しています。
「これは2か月連続で、CLFSの特権昇格の欠陥がゼロデイとして野外で悪用されたことになります」と彼はメールでの声明で書いています。「2025年4月にパッチが適用されたCVE-2025-29824は、PipeMagicマルウェアを使用して侵害された環境にランサムウェアを展開したStorm-2460 [別名Playランサムウェアギャング]として知られる脅威アクターによって悪用されました。」
関連:DeepSeek、深い研究がAIセキュリティに深い変化をもたらす
彼はさらに、CVE-2025-32701とCVE-2025-32706が、スパイ活動やランサムウェア展開を目的とした侵害後の活動の一部である可能性が高いと付け加えました。
そして最後に、CVE-2025-32709(CVSS 7.8)は、Windows Sockets API(またはWinSock)とインターフェースしてWindowsアプリケーションがインターネットに接続できるようにするWindows補助機能ドライバーafd.sysのEoP欠陥です。
「今年の2月にもこのコンポーネントが野外で悪用されているのを見ました」とZDIのChilds氏は述べています。「同じコンポーネントが何度も悪用されるのを見ると、パッチの品質に疑問を抱き、それらが回避されているのではないかと考え始めます。再び、ここではSYSTEM特権への特権昇格バグがあります。」
重要なパッチ適用の懸念
5月に公開された12の重大な脆弱性のうち、研究者たちはCVE-2025-29967(CVSS 8.8)を最も懸念されるものの1つとして指摘しました。これはリモートデスクトップクライアントを介した即時のRCEを可能にします。
これは「本番環境でリモートデスクトッププロトコル(RDP)を実行している環境にとって高リスクの脅威です」とAutomoxのシニアセキュリティエンジニアであるMat Lee氏は述べ、過去のRDP脆弱性と組み合わせて即時のシステムアクセスのための連鎖的なエクスプロイトを作成できると付け加えました。「ユーザーが攻撃者が制御するRDPサーバーに接続すると、セッション開始時にサーバーがクライアントマシンでコードを即座に実行でき、追加の操作は必要ありません。」
関連:Google、テキサスに対する「歴史的」なプライバシー訴訟を13億7500万ドルで和解
優先されるべき他のCVEには、Officeの重大なRCEバグ(CVE-2025-30377、CVSS 8.4)が含まれ、ユーザーの操作なしにプレビューペインを介して悪用される可能性があります。
クラウドの面では、ZDIのChilds氏も「Azureにはいくつかの恐ろしいバグがあり、最大のクリティカルCVSS 10を含んでいますが、これらのバグはすでにMicrosoftによって軽減されているため、さらなる対策は必要ありません」と指摘しています。
2025年5月のMicrosoftの注目すべきセキュリティバグ
NTFSの重要と評価されたEoP脆弱性(CVE-2025-32707、CVSS 7.8)は、NTFSがVHDファイルなどのマウントされた仮想ドライブを処理する方法をターゲットにしています。
「ユーザーが悪意のあるディスクイメージをマウントすると — フィッシングメールを介して配信されることが多いか、ソフトウェアインストーラーとして偽装されている — 攻撃者はホストシステムで特権を昇格させることができます」とAutomoxのBraunstein氏は書いています。「この脆弱性は、未確認のソースからのディスクイメージのマウントなどのユーザーの行動と組み合わせると、特に重大なリスクをもたらします。」
一方、Visual Studioには、すでに公に知られている重要と評価されたRCE脆弱性(CVE-2025-32702、CVSS 7.8)が含まれており、Lee氏は開発者システムに対する重大なサイバーリスクをもたらし、クラウドの資格情報やビルドパイプラインなどの機密資産へのアクセスを提供すると述べています。
「攻撃者はこの欠陥を悪用してローカルで任意のコードを実行し、ソフトウェアサプライチェーンを潜在的に危険にさらすことができます」と彼は説明しています。「この脆弱性は、開発者が標準ユーザーよりも広範な権限を持つことが多いエンジニアリング環境で特に危険になる可能性があります。リモートデスクトップゲートウェイの欠陥など、他の既知の脆弱性と組み合わせると、このCVEは連鎖的なエクスプロイトの一部となり、攻撃者に迅速で特権的なアクセスを最小限の操作で提供する可能性があります。」