12月のパッチチューズデー：すでに悪用されている Windows Cloud Files Mini Filter Driver の脆弱性

マイクロソフトは 2025 年を締めくくるにあたり、12 月のパッチチューズデーとして Windows などの製品向けにわずか 57 件のパッチを公開しましたが、そのうち 1 件の脆弱性はすでにゼロデイとして悪用されており、迅速な対処が必要です。

問題となっているのは Windows Cloud Files Mini Filter Driver（CVE-2025-62221）における権限昇格の脆弱性で、すでにシステム管理に返却されたメモリ領域をプログラムが再利用しようとする「Use After Free」問題として説明されています。攻撃の複雑さは低く、最悪の場合、脅威アクターがこれを利用してアクセス権限を昇格させる可能性があります。

「権限昇格のバグは、足掛かりを完全な侵害へと変えてしまいます」と、Tenable のシニア・スタッフ・リサーチ・エンジニアであるSatnam Narang氏はメールで述べています。「攻撃者は、ソーシャルエンジニアリングや別の脆弱性の悪用など、他の手段で初期アクセスを獲得した後のポストコンプロマイズ活動を行うために、こうしたバグをよく利用します。」

「Windows Cloud Files Mini Filter Driver は、クラウドアプリケーションがファイルシステム機能にアクセスできるようにするファイルシステムドライバーであるため、魅力的な標的となります」と同氏は付け加えました。

 Jack Bicer氏（Action1 の脆弱性リサーチディレクター）は、この脆弱性のパッチ適用は「最も緊急の懸念事項」だと述べています。なぜなら、いかなるレベルであってもローカルアクセスを得た攻撃者によって積極的に悪用されているためです。

「アクティブな悪用があるということは、実際のインシデントがすでに発生していることを意味します」と同氏は指摘します。「この脆弱性は、フィッシング、ブラウザベースの攻撃、悪意あるドキュメント、その他の初期侵入手段と組み合わされ、システムを完全に乗っ取るために利用される可能性が高いです。攻撃の可能性としては、セキュリティツールの無効化、機密情報へのアクセス、組織ネットワーク内での横移動、永続的な高権限アクセスの確立などが含まれます。影響を受けるドライバーはエンタープライズ環境全体に広く展開されているため、露出範囲は広く、運用面での潜在的な影響も重大です。」

同氏は、IT 幹部は運用チームがリソースを確保し、パッチ適用を加速させるとともに、最小権限アクセス制御を徹底し、すぐにはパッチを適用できないシステムに対して異常な活動を強化監視するようにすべきだと強調します。「アクティブに悪用されている脆弱性や RCE（リモートコード実行）脆弱性から着手する、集中的かつ期限を区切った是正計画が、組織リスクを最も大きく低減し、大規模な侵害の可能性に対する最も強力な防御となるでしょう」と同氏は述べています。

一方で、Immersive のサイバー脅威リサーチ シニアディレクターであるKevin Breen氏は、マイクロソフトはこのエクスプロイトがどのように悪用されているのか、また侵害の兆候（IoC）についても何ら詳細を提供しておらず、防御側がプロアクティブな脅威ハンティングを開始することを難しくしていると述べています。 

Exchange Server の脆弱性

Michael Walters氏（Action1 社長）は、Microsoft Exchange Server に存在する 2 つの脆弱性に注意を促しています。

• CVE-2025-64666：不適切な入力検証により生じる権限昇格（EoP）の脆弱性;
• CVE-2025-64667：脅威アクターがネットワーク越しになりすましを行える脆弱性。

これらは「重要（Important）」と評価され、悪用可能性は「Less/Unlikely（低い／起こりにくい）」とされていますが、Walters 氏は、これらの欠陥はメッセージングとアイデンティティの中核となる領域に影響し、チェーン攻撃の一部となることで重大化し得ると指摘します。たとえば、なりすましがフィッシングを可能にしたり、EoP がメールボックス窃取を容易にしたりするケースです。

Tyler Reguly氏（Fortra の R&D アソシエイトディレクター）は、CSO はマイクロソフトが今月「クリティカル」と評価した別の 2 件の脆弱性にも優先度を割り当てるべきだと述べています。

• CVE-2025-62557：Microsoft Office における Use After Free の脆弱性で、認証されていない攻撃者がローカルでコードを実行できる;
• CVE-2025-62554,：Microsoft Office における「互換性のない型を用いたリソースアクセス（型混同）」の脆弱性で、認証されていない攻撃者がローカルでコードを実行できる。

これらの脆弱性は攻撃ベクターとして Outlook のプレビューペインが挙げられているため、Reguly 氏は懸念を示しています。「私は常に、プレビューペインを攻撃ベクターとして挙げているものを、最も恐ろしい部類の攻撃ベクターだと考えています」と同氏は述べます。「ユーザーの操作に依存しない脆弱性は、特に注意を払うべきものです。」

JetBrains 利用者向けの Copilot の脆弱性

Immersive の Breen 氏は、JetBrains のアプリケーション開発プラットフォーム向けに GitHub Copilot を利用している組織は、脅威アクターが悪用方法を見つける前に、Copilot の脆弱性に対して迅速にパッチを適用すべきだとも述べています。 

同氏によると、この脆弱性レポートでは、LLM をだましてガードレールを回避するコマンドを実行させ、ユーザーの「自動承認（auto-approve）」設定に命令を追加することで、影響を受けるホスト上でコード実行が可能になると記載されています。これはクロス・プロンプト・インジェクションによって実現され得るとされており、ユーザーではなく LLM エージェントが、ファイルの内容や Model Context Protocol（MCP）サーバーから取得したデータに基づいて自らのプロンプトを作成する際にプロンプトが改変される仕組みです。 

マイクロソフトはこの悪用可能性を「Less Likely（起こりにくい）」と評価していますが、Breen 氏は、リスクベースのアプローチを取る CSO は、開発者が一般的に API キーやシークレットにアクセスできることを踏まえるべきだと指摘します。これにより、攻撃者にとって広大な攻撃面が生じる可能性があるためです。  

SAP の脆弱性

別件として、SAP の 12 月の Security Notes には 4 件の HotNews Note が含まれており、そのうち 2 件は CVSS スコアが 9 台となっています。

• ノート #3685270 [CVE-2025-42880] は、SAP Solution Manager におけるコードインジェクションの脆弱性に対するパッチです。Onapsis の研究者によると、リモート対応のファンクションモジュールにより、認証済みの攻撃者が任意のコードを注入でき、システムの機密性、完全性、可用性に大きな影響を与える可能性があります。この脆弱性は、影響を受けるファンクションモジュールに適切な入力サニタイズを追加することで修正されています。SAP Solution Manager は SAP システムランドスケープにおいて中核的な役割を果たすため、Onapsis は迅速なパッチ適用を強く推奨しています。
• ノート #3685286 [CVE-2025-42928] は、Onapsis が SAP jConnect SDK for Sybase Adaptive Server Enterprise（ASE）におけるデシリアライゼーションの脆弱性を悪用し、特別に細工した入力をコンポーネントに与えることでリモートコード実行を行えることを確認したことを受けて公開されました。「成功するエクスプロイトには高い権限が必要であるため、この脆弱性には CVSS スコア 10.0 を付与できませんでした」と Onapsis は述べています。
• ノート #3683579 は SAP Commerce Cloud の顧客に影響します。SAP Commerce Cloud は、CVE-2025-55754 および CVE-2025-55752 に対して脆弱なバージョンの Apache Tomcat を使用しています。CVSS スコア 9.6 のこのセキュリティノートは、修正済みバージョンの Apache Tomcat を含むアップデートを提供します。パッチが適用されない場合、これらの欠陥によりアプリケーションの機密性、完全性、可用性が高リスクにさらされると Onapsis は述べています。
• ノート #3668705 は CVSS スコア 9.9 が付与されており、当初は SAP の 11 月のパッチデーに公開された、SAP Solution Manager におけるコードインジェクションの脆弱性を修正するものです。このノートは、その後、追加の修正手順が追記され更新されました。 

2026 年に向けたアドバイス

最後に、マイクロソフトから今年最後となるパッチが公開されたことを受け、Fortra の Tyler Reguly 氏が背景情報を提供しています。

「2025 年、マイクロソフトは 1275 件の脆弱性にパッチを適用しました」と同氏はメールで述べています。「これは、月あたりおよそ 106 件の脆弱性に相当しますが、サードパーティ CNA の脆弱性を含めても、12 月に修正された脆弱性は 70 件に過ぎません。すべてが均等であれば、12 月はマイクロソフトが修正した CVE 全体の 8.3% を占めるはずですが、実際には今年の CVE 総数の 5.5% しか含まれていません。マイクロソフトから少し早いクリスマスプレゼントをもらったと考えるべきでしょうね。」

「もし私がエンタープライズのセキュリティ全般を統括する立場にあり、年末を迎えて 2026 年の予算について考えているとしたら」と同氏は続けます。「おそらく、プレビューペインに影響する 2 件のクリティカルな Office の脆弱性について考え、自社が導入しているメール保護の仕組みと、2026 年にどこへ投資すれば組織のメールセキュリティをさらに向上できるかを検討するでしょう。プレビューペインを悪用する『サイレント攻撃』、フィッシング、その他メール経由で押し寄せるあらゆるリスクを踏まえると、メールは依然として、組織がセキュリティ態勢を強化し、より良い状態を築くために、さらなる対策を講じる余地がある分野のひとつなのです。」