Microsoftは本日、Windowsオペレーティングシステムおよびサポート対象ソフトウェアに存在する少なくとも56件のセキュリティ欠陥を修正する更新プログラムを公開しました。2025年最後のパッチ チューズデーとなる今回は、すでに悪用が確認されているゼロデイ脆弱性1件に加え、公に開示されている脆弱性2件にも対処しています。
ここ数カ月は通常より少ない件数のセキュリティ更新にとどまっていたものの、Microsoftは2025年に合計1,129件もの脆弱性を修正しており、2024年から11.9%増加しました。TenableのSatnam Narang氏によれば、Microsoftが1,000件を超える脆弱性を修正したのは2年連続で、創設以来では3度目に当たるとのことです。
本日修正されたゼロデイ欠陥は、CVE-2025-62221で、Windows 10以降のエディションに影響する権限昇格の脆弱性です。この弱点は「Windows Cloud Files Mini Filter Driver」と呼ばれるコンポーネントに存在します。これは、クラウドアプリケーションがファイルシステムの機能にアクセスできるようにするシステムドライバーです。
「これは特に懸念すべきです。ミニフィルターはOneDrive、Google Drive、iCloudといったサービスに不可欠であり、これらのアプリがインストールされていなくても、Windowsの中核コンポーネントとして残るからです」と、Rapid7のリードソフトウェアエンジニアであるAdam Barnett氏は述べています。
本日修正された欠陥のうち、Microsoftの最も深刻な「重大(critical)」評価を受けたのは3件のみでした。CVE-2025-62554とCVE-2025-62557はいずれもMicrosoft Officeに関するもので、プレビューウィンドウで細工されたメールメッセージを表示するだけで悪用され得ます。もう1件の重大な欠陥であるCVE-2025-62562はMicrosoft Outlookに関するものですが、レドモンド(Microsoft)は、この件ではプレビューウィンドウが攻撃ベクターではないとしています。
しかしMicrosoftによれば、今月のパッチ群の中で最も悪用される可能性が高い脆弱性は、(重大ではない)別の権限昇格バグであり、具体的には次のものが含まれます。
–CVE-2025-62458 — Win32k
–CVE-2025-62470 — Windows Common Log File System Driver
–CVE-2025-62472 — Windows Remote Access Connection Manager
–CVE-2025-59516 — Windows Storage VSP Driver
–CVE-2025-59517 — Windows Storage VSP Driver
Immersiveで脅威リサーチ担当シニアディレクターを務めるKev Breen氏は、権限昇格の欠陥はホスト侵害を伴うほぼすべてのインシデントで観測されると述べました。
「なぜMicrosoftがこれらを特に“悪用される可能性が高い”と位置付けたのかは分かりませんが、これらのコンポーネントの大半は過去に実際の環境で悪用されてきたか、あるいは以前のCVEに関する技術的詳細が十分にあるため、脅威アクターが武器化しやすいのです」とBreen氏は述べています。「いずれにせよ、現時点で積極的に悪用されていないとしても、これらはできるだけ早くパッチを適用すべきです。」
今月修正された脆弱性の中でも特に興味深いものの一つが、CVE-2025-64671です。これは、MicrosoftとGitHubが提供するAIベースのコーディング支援ツールであるGithub Copilot Plugin for Jetbrainsに存在するリモートコード実行の欠陥です。Breen氏によれば、この欠陥により攻撃者は、大規模言語モデル(LLM)をだましてユーザーの「自動承認(auto-approve)」設定を回避するコマンドを実行させ、任意のコードを実行できるようになります。
CVE-2025-64671は、セキュリティ研究者のAri Marzuk氏がIDEsaster(IDEは「統合開発環境」を意味します)と名付けた、より広範で体系的なセキュリティ危機の一部です。これは、Cursor、Windsurf、Gemini CLI、Claude Codeなど、主要なAIコーディングプラットフォーム約12製品に報告された30件以上の個別脆弱性を包含しています。
本日修正されたもう一つの公表済み脆弱性は、CVE-2025-54100です。これはWindows Server 2008以降のWindows Powershellに存在するリモートコード実行の欠陥で、認証されていない攻撃者がユーザーのセキュリティコンテキストでコードを実行できるようになります。
本日Microsoftが公開したセキュリティ更新のより詳細な内訳を知りたい方は、SANS Internet Storm Centerのまとめをご覧ください。いつものとおり、今月のWindowsパッチの適用で問題が発生した場合は、コメント欄に書き込んでください。
翻訳元: https://krebsonsecurity.com/2025/12/microsoft-patch-tuesday-december-2025-edition/
