今回のMicrosoftのアップデートは重大なセキュリティ問題を修正しており、その中には、攻撃者がすでに悪用してWindowsシステムを乗っ取っている3件の脆弱性が含まれます。
今回のセキュリティアップデートでは、合計57件のMicrosoft製品のセキュリティ脆弱性が解消されています。MicrosoftはすでにWindows 10向けの新機能の提供を終了しているため、Windows 10ユーザーに届くのは、セキュリティアップデートと、過去のセキュリティアップデートによって発生したバグの修正のみとなります。
修正内容
Microsoftは毎月第2火曜日、いわゆる「パッチチューズデー」に重要なセキュリティアップデートを公開します。今月のパッチでは、Windows 10、Windows 11、Windows Server、Office、および関連サービスに存在する重大な欠陥が修正されています。
ゼロデイは3件あります。CVE‑2025‑62221は、Windows Cloud Files Mini Filter Driverに存在する、すでに悪用が確認されている権限昇格のバグです。残り2件はすでに情報が公開されている脆弱性で、1つはGitHub Copilot for JetBrainsにおけるリモートコード実行(RCE)の脆弱性CVE-2025-64671、もう1つはWindows PowerShellのRCE問題であるCVE‑2025‑54100です。
PowerShellには追加の対策も行われており、今後はInvoke‑WebRequestコマンドが安全なパラメータなしでウェブページを取得しようとした際に、ユーザーへ警告が表示されるようになります。
この警告は、ウェブコンテンツからのスクリプトの誤実行を防ぐことを目的としています。ダウンロードしたページ内に埋め込まれたスクリプトコードが、解析中に実行されてしまう危険性を強調し、そのようなスクリプトの実行を避けるために -UseBasicParsing スイッチの使用を推奨しています。
Microsoftは、新しいInvoke‑WebRequestの警告とClickFixを直接結びつける明示的な声明は出していませんが、この対策は明らかにClickFixや類似キャンペーンが依存している悪用パターン、すなわち、ユーザーに内容を理解させないままウェブから取得したPowerShellコードを実行させる手口に対処するものです。
修正を適用して保護状態を確認する方法
これらのアップデートはセキュリティ問題を修正し、Windows PCを保護します。以下の手順で、最新の状態になっているか確認してください。
1. 設定を開く
- 画面左下のスタートボタン(Windowsロゴ)をクリックします。
- 設定(小さな歯車のアイコン)をクリックします。
2. Windows Updateに移動する
- 「設定」ウィンドウで、左側メニューの一番下付近にあるWindows Updateを選択します。
3. 更新プログラムのチェック
- 更新プログラムのチェックと表示されたボタンをクリックします。
- Windowsが最新のパッチチューズデーの更新プログラムを検索します。
- 以前に自動更新を有効にしている場合は、更新の履歴の下に次のような表示が出ていることがあります。
- または、再起動が必要ですというメッセージが表示される場合もあります。この場合は、システムを再起動するだけで更新は完了です。
- 表示されない場合は、以下の手順を続けてください。
4. ダウンロードしてインストール
- 更新プログラムが見つかると、すぐにダウンロードが開始されます。完了すると、インストールまたは今すぐ再起動と表示されたボタンが現れます。
- 必要に応じてインストールをクリックし、表示される指示に従います。通常、更新を完了するにはPCの再起動が必要です。その場合は今すぐ再起動をクリックします。
5. 最新の状態かを再確認する
- 再起動後、もう一度Windows Updateに戻り、再度確認します。最新の状態ですと表示されていれば、準備完了です。
