出典: Cagkan Sayin / Shutterstock
攻撃者は、マイクロソフトが今週パッチを公開した57件の脆弱性のうち1件をすでに悪用しており、さらに別の2件については概念実証(PoC)エクスプロイトが公開されている。
とはいえ、同社の2025年12月のアップデートは、年初に公開した157件のパッチを含むアップデートや、10月の過去最多となる163件のパッチモンスターと比べると、かなり控えめな内容だ。
ゼロデイ脆弱性
現在積極的に悪用されているゼロデイ脆弱性――つまり優先度高で対処すべきもの――はCVE-2025-62221で、CVSSスコアは7.8だ。これは Windows Cloud Files Mini Filter Driver に影響し、すでに脆弱なシステムへのアクセス権を得ている攻撃者が、そのシステム上で権限昇格を行えるようにする。
「この脆弱性はすでに積極的に悪用されており、SYSTEMレベルのアクセスにつながり得ることから、今月最優先でパッチ適用すべきです」と、Fortra のセキュリティR&Dアソシエイトディレクターである Tyler Reguly 氏は声明で述べた。マイクロソフトは、この脆弱性が攻撃者に悪用されていることを確認したが、同社としてはいつものことながら、その活動に関する詳細は一切明らかにしていない。
PoCエクスプロイトが利用可能な、以前から公表されていた2件の脆弱性は、CVE-2025-54100(CVSSスコア: 7.8)という PowerShell のリモートコード実行(RCE)脆弱性と、CVE-2025-64671(CVSSスコア: 8.4)という、JetBrains 向け GitHub Copilot コード補完ツールに影響する別のRCE脆弱性だ。両脆弱性についてPoCが公開されてはいるものの、マイクロソフトは悪用リスクは比較的低いと評価している。
それでもなお、セキュリティ専門家らは組織に対し、このバグを無視しないよう促している。Tenable のシニアスタッフリサーチエンジニアである Satnam Narang 氏によれば、GitHub Copilot の欠陥は、このAI対応ツールを利用している組織にとって、早めに対処すべき問題だという。
「IDE に組み込まれた AI エージェントが、これらのツールに対するプロンプトインジェクションを悪用する攻撃チェーンの一部として利用され、ベースとなる IDE レイヤーにアクセスされると……情報漏えいやコマンド実行につながり得ます」と同氏は声明で指摘した。「この欠陥は、GitHub Copilot、Cursor、JetBrains Junie、Roo Code、Claude Code を含む複数の IDE に共通する、基盤となる欠陥に関連するものの一つのように見えます。」
多数の権限昇格脆弱性
最近の傾向どおり、マイクロソフトの12月のアップデートに含まれる多くの脆弱性(3件のゼロデイを含む)は、侵害後に悪用される権限昇格の脆弱性であり、攻撃者がシステムレベルの権限を得るために悪用できるものだ。マイクロソフトが悪用リスクが高いと判断した6件の欠陥も、すべて権限昇格の脆弱性だった。
同社は、今月修正した欠陥のうち、わずか2件にのみ「クリティカル」の重大度評価を割り当てた。残りは、リモートコード実行脆弱性、なりすましの欠陥、データ窃取、サービス拒否の問題などを含め、「重要」または「中程度」の重大度とされた。
2025年を通じて、マイクロソフトは合計1,150件以上のパッチを公開しており、1年間としては同社史上最大級の件数となった。Narang 氏によれば、2025年はマイクロソフトが1,000件を超えるCVEに対してパッチを提供した2年連続の年であり、月次パッチアップデートを開始して以来、通算3回目となる。
その他のクリティカルおよび重要な脆弱性
PowerShell の RCE バグ(CVE-2025-54100)も、PowerShell が攻撃ツールとして広く利用されていることを踏まえると、組織が優先的に対処すべき問題だと、Action1 のCEO兼共同創業者である Alex Vovk 氏は述べる。「これは、Windows PowerShell が Web コンテンツを処理する方法におけるコマンドインジェクションの欠陥です」と同氏は声明で説明した。この欠陥により、認証されていない攻撃者が、ユーザーと同じ権限で任意のコードをリモート実行できてしまう。「レスポンスボディを細工して脆弱なパーサーロジックをトリガーできる研究者や攻撃者にとって、PoCスクリプトは比較的簡単に作成できるでしょう」と同氏は述べた。
CVE-2025-62554(CVSSスコア 8.4)は、Microsoft Office に存在する、今月のリリースでマイクロソフトが「クリティカル」評価を付与した2件のうちの1件だ。このバグは、Office が特定の外部入力を処理する方法に起因し、影響を受けるシステム上で任意のRCEを可能にする。
「この脆弱性を悪用されると、攻撃者はシステムを完全に制御し、データを改ざんしたり、サービスを妨害したり、ネットワークの奥深くへ横移動したりできる可能性があります」と、Action1 の脆弱性リサーチディレクターである Jack Bicer 氏は声明で警告した。現時点ではPoCエクスプロイトは公開されていないようだが、この欠陥を悪用した場合に攻撃者が与え得る被害の大きさから、攻撃者の関心を引く可能性は高いと、Bicer 氏は付け加えた。
「CISOの皆さんは、今月時点で管理者たちが今年、マイクロソフトだけでも1,275件の脆弱性に対処(あるいは少なくとも精査)してきたことを思い出すべきです」と Reguly 氏は試算する。「セキュリティチームにとって、今年は脆弱性に満ちた長い一年であり、彼らはきっと疲弊していることでしょう」と同氏は述べた。
そのような状況を踏まえると、今月のパッチアップデートは幸いにも軽量であり、セキュリティ管理者にとっては歓迎すべきペースの変化となりそうだと、同氏は付け加えた。
