12月のパッチチューズデーを祝う皆さんにおめでとうを。今月のパッチ祭りには、悪用中のマイクロソフトの脆弱性が1件、さらに公知とされているものが2件含まれていますが、レドモンドから公表されたCVEは合計57件にとどまります。
また、セキュリティ研究者ケビン・ボーモントによると、中国の攻撃者に悪用されているという、Notepad++の重大なバグに対する修正も含まれています。
さらに、ソフトウェアセキュリティベンダーのIvantiとFortinetも、自社製品の重大なセキュリティホールに対するパッチを公開しており、この2つはシスアドやセキュリティチームが本日優先的に対応すべき項目となるでしょう。
マイクロソフトのパッチ
まずは、マイクロソフトにとって比較的静かな2025年最後のパッチ祭りを、CVE-2025-62221から見ていきましょう。これはCVSS 7.8評価のWindows Cloud Files Mini Filter Driverの脆弱性で、認証済みの攻撃者がローカルで権限昇格を行えるものです。
レドモンドによると、これはゼロデイとして悪用されていました。誰がこのセキュリティホールを悪用しているのかはまだ分かっていませんが、「権限昇格の脆弱性は、ホスト侵害を伴うほぼすべてのインシデントで観測されており、攻撃者の能力を制限するためにパッチ適用が極めて重要な脆弱性です」と、Immersive社のサイバー脅威リサーチ担当シニアディレクターであるKev Breen氏はThe Registerに語っています。
このバグを悪用するには、攻撃者がすでに対象システム上でコード実行権限を持っている必要がありますが、一度それを達成していれば、CVE-2025-62221を悪用して権限を昇格し、システムレベルのアクセスを得ることができます。したがって、この脆弱性のパッチ適用を最優先にしてください。
公知ではあるものの(まだ)悪用は確認されていないレドモンドの脆弱性2件は、CVSS 7.8評価のPowerShellリモートコード実行(RCE)の欠陥であるCVE-2025-54100と、RCEにつながる可能性がある、GitHub Copilot for Jetbrainsの深刻度8.4のバグCVE-2025-64671です。
CVE-2025-64671はローカル脆弱性として記載されていますが、Trend MicroのZero Day Initiativeのバグハンティング責任者であるDustin Childs氏は次のように指摘しています。「リモートの攻撃者が、コマンドインジェクションを引き起こすように誰かをソーシャルエンジニアリングで誘導できる可能性があります。」
「信頼できないファイルやModel Context Protocol(MCP)サーバーにおける悪意あるクロスプロンプトインジェクションを悪用することで、攻撃者はユーザーのターミナルの自動承認設定で許可されているコマンドに余分なコマンドを便乗させ、追加の確認なしに実行させることができます」とChilds氏は続けます。「2026年には、この種のバグがさらに多く見つかると予想しています。」
57件すべてのCVEの詳細はこちらで確認できます。
攻撃を受けるNotepad++
同じく火曜日、Notepad++は v8.8.9をリリースし、Windows向けオープンソースのテキスト/ソースコードエディタに存在する重大な欠陥を修正しました。このバグは、WinGUp(Notepad++のアップデータ)からのトラフィックをハイジャックし、悪意あるサーバーへリダイレクトしたうえで、人々に最新バージョンのソフトウェアをダウンロードしていると思い込ませてマルウェアをダウンロードさせるために悪用されていました。
この修正は、セキュリティ研究者たち(ボーモントによるこの報告を含む)によるハイジャック事案の報告を受けて行われました。またボーモントは火曜日のソーシャルメディア投稿で、中国の攻撃者がこの欠陥を突いていたと述べています。
プロジェクトメンテナーのDon Ho氏によると、これらの報告のレビューにより、「アップデータがダウンロードした更新ファイルの完全性と真正性を検証する方法に弱点があることが判明しました。攻撃者がアップデータクライアントとNotepad++のアップデート基盤との間のネットワークトラフィックを傍受できる場合、この弱点を悪用して、アップデータに正規のNotepad++アップデートバイナリではなく、望ましくないバイナリをダウンロードして実行させることが可能になります。」とのことです。
v8.8.9へのアップデートにより、この問題は軽減されます。
Fortinetの重大な修正
ほかのパッチチューズデー関連ニュースとして、Fortinetは自社製品の重大な脆弱性2件を修正しました。これらの欠陥はCVE-2025-59718およびCVE-2025-59719として追跡されており、CVSS 9.1のクリティカル評価を受け、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerに影響します。
これらは、細工されたSAMLメッセージを用いることで、認証されていない攻撃者がFortiCloud SSOログイン認証をバイパスできるというものですが、このログイン方式がデバイス上で有効になっている場合に限られます。
「FortiCloud SSOログイン機能は、工場出荷時のデフォルト設定では有効になっていないことにご注意ください。しかし、管理者がデバイスのGUIからFortiCareにデバイス登録を行う際、登録ページで『FortiCloud SSOを使用した管理者ログインを許可する』というトグルスイッチを無効にしない限り、登録時にFortiCloud SSOログインが有効になります」とベンダーは説明しています。
これらの脆弱性を悪用する攻撃の被害に遭いたくない場合は、影響を受けないバージョンにアップグレードするまで、FortiCloudログイン機能をオフにしておいてください。
この2件の重大なバグは、先月公表された、FortinetのFortiWeb Webアプリケーションファイアウォールにおいて2件のバグがゼロデイとして悪用されていたという報告に続くものです。
みんな大好きIvanti EPMの悪用
一方で、IvantiのEndpoint Manager(EPM)製品に存在した重大なバグは、現在はパッチが提供されており、認証されていない攻撃者がリモートから悪意あるコードを実行できる可能性がありました。
ベンダーは火曜日、CVE-2025-10573として追跡されるクロスサイトスクリプティングの欠陥を公表し、最新のソフトウェアアップデートであるEPM 2024 SU4 SR1が、このCVSS 9.6評価の脆弱性を修正すると述べました。
「開示時点で、これらの脆弱性によって悪用されたお客様は把握していません」と、同社のセキュリティアドバイザリは記しています。
しかし、Ivantiのエンドポイント管理ツールのこのホールを悪用されると、攻撃者はWindows、macOS、Linux、Chrome OS、IoTといったすべてのクライアントデバイスにアクセスできる可能性があること、そして中国は、サイバースパイ活動やボットネット構築の目的で、バグだらけのIvanti機器への侵入を非常に好んでいることを考えると、このパッチを放置しておくべきではありません。
Rapid7のセキュリティ研究者Ryan Emmons氏は、このバグをIvantiに報告し、その後の火曜日のブログで詳細を説明し、「認証されていない状態でプライマリEPM Webサービスにアクセスできる攻撃者は、偽の管理対象エンドポイントをEPMサーバーに参加させることで、管理者用Webダッシュボードに悪意あるJavaScriptを注入できる」と述べています。
そのうえで、EPM管理者がこれらの汚染されたダッシュボードインターフェースの1つを閲覧すると、「その受動的なユーザー操作によってクライアント側のJavaScript実行が引き起こされ、攻撃者は管理者セッションを掌握することになります」と同氏は付け加えました。
Rapid7の脆弱性インテリジェンスディレクターであるDoug McKee氏はThe Registerに対し、自身の脅威ハンティングチームは現時点で積極的な悪用を把握していないとしつつも、「脆弱性が公表されパッチも提供された今、攻撃者がアップデートをリバースエンジニアリングしてインターネットに公開されたシステムを標的にする可能性は高い」と述べています。
「攻撃には認証情報が一切不要であり、管理者が汚染されたダッシュボードを閲覧しさえすれば完全なセッション制御を獲得できるため、広範なスキャンと悪用の試みがすぐに続く可能性が高い」と同氏は付け加えました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/09/december_2025_patch_tuesday/
