Microsoft は 12 月のセキュリティ更新プログラムを公開しました。今月の「Patch Tuesday」では、57 件の脆弱性が修正されており、その中には 3 件のゼロデイ(うち 1 件はすでに積極的に悪用されているもの)と、3 件の重大なリモートコード実行(RCE)脆弱性が含まれます。管理者および Windows ユーザーは、遅滞なくパッチを適用することが強く推奨されます。
今月のパッケージには、権限昇格の脆弱性 28 件、リモートコード実行の問題 19 件、情報漏えいの脆弱性 4 件、サービス拒否(DoS)のバグ 3 件、なりすましの弱点 2 件が含まれます。このレポートには、別途 12 月上旬の更新で対処された 15 件の Microsoft Edge の脆弱性や Mariner のバグは含まれていません。機能更新を追っている人向けには、Microsoft は最新の Windows 11 累積更新プログラム(KB5072033 および KB5071417)についても個別の告知を公開しています。
今月で最も深刻な問題は、Windows Cloud Files Mini Filter ドライバーにおける、すでに悪用が確認されている権限昇格の脆弱性 CVE-2025-62221 です。この use-after-free バグにより、有効なアカウントを持つローカル攻撃者は権限を SYSTEM まで昇格させることができます。これは、攻撃者が他のバグと組み合わせて常套的に悪用するタイプの脆弱性です。最初に初期侵入を行い、その後このような EoP(権限昇格)脆弱性を悪用してホストを完全に掌握します。Microsoft は、この脆弱性の発見を MSTIC と MSRC の功績としていますが、すでに観測されている攻撃の詳細については開示していません。
今回修正された残り 2 件のゼロデイは、パッチ提供前にすでに公開されており、悪用試行のリスクを大きく高めていました。
1 つ目の CVE-2025-64671 は、JetBrains IDE 向け GitHub Copilot におけるリモートコード実行の脆弱性で、コマンド内の特殊文字のフィルタリング不備に起因する、典型的なコマンドインジェクションです。要するに、攻撃者が Copilot にターミナルコマンドの生成または補完を行わせることができれば、ローカルで任意コード実行が可能になります。Microsoft は特にリスクの高いシナリオとして、信頼できないファイルや MCP サーバー内に悪意あるプロンプトが埋め込まれる「クロスプロンプトインジェクション」を挙げています。自動コマンド確認が有効な場合、見かけ上は正当なコマンドに、有害な末尾コマンドが密かに付け足される可能性があります。研究者 Ari Marzuk は、「IDEsaster: A Novel Vulnerability Class in AI IDEs」 という研究でこの欠陥を詳述し、AI 支援 IDE ツールそのものが攻撃対象領域になり得ることを示しました。
2 つ目の公開済みゼロデイである CVE-2025-54100(Windows PowerShell)は、同様にコマンドインジェクションの脆弱性です。Invoke-WebRequest を使用した際、取得した Web ページに埋め込まれたスクリプトが、解析中に実行されてしまう可能性がありました。そのため、PowerShell でページ内容を取得するだけで、そのページが悪意あるものであれば任意コード実行が引き起こされ得ました。
緩和策として、Microsoft は PowerShell の動作を変更しました。Invoke-WebRequest は、Web コンテンツからスクリプトを実行するリスクについて警告を表示し、実行経路を排除するために高度な解析を無効化する -UseBasicParsing スイッチの追加を推奨するようになりました。これは、Web リクエストに大きく依存した自動化を行っている管理者や開発者にとって重要な変更です。レガシースクリプトは、意図した動作モードを明示的に指定するよう見直しと更新を行う必要があります。
重大な脆弱性の中でも、Microsoft Office における 3 件が特に注目されます。Office の RCE 脆弱性 2 件(CVE-2025-62554 および CVE-2025-62557)と、Outlook の RCE 脆弱性 1 件(CVE-2025-62562)です。この種のバグに典型的なように、細工されたドキュメントやメールを開くだけで、ユーザー権限で任意コード実行が可能になるおそれがあります。企業環境では、これは依然としてフィッシングや標的型侵入キャンペーンにおける最も信頼性の高い侵入経路の 1 つです。
Office 以外にも、Windows Storage VSP および ReFS ドライバー、Windows Projected File System、Win32k、Windows Shell など、Windows の各種システムコンポーネントにわたる幅広い脆弱性が修正されています。さらに、Remote Access Connection Manager、Routing and Remote Access Service(RRAS)、DirectX、Hyper-V に影響する欠陥も含まれます。多くは「重要(Important)」に分類されており、攻撃者が一度足掛かりを得た後の永続化、分離バイパス、横移動を容易にする可能性があります。
サーバー製品も影響を受けています。今回のリリースでは、Microsoft Exchange Server における権限昇格およびなりすましの脆弱性、ならびに SharePoint Server の問題も修正されており、これらのサービスをインターネットに公開していることが多いエンタープライズ環境の管理者にとって、12 月のパッチは特に重要です。
Microsoft のリリースに合わせて、他ベンダーからも 12 月のセキュリティ情報が公開されています。Adobe は ColdFusion、Experience Manager、DNG SDK、Acrobat Reader、Creative Cloud クライアントの脆弱性を修正しました。Fortinet は複数製品を更新しており、その中には FortiCloud SSO における重大な認証バイパス脆弱性の修正も含まれます。Google は Android の 12 月セキュリティ情報を公開し、すでに悪用されている 2 件の脆弱性に対処しました。Ivanti は、Ivanti Endpoint Manager における CVSS 9.6 の XSS 修正を含むアップデートを提供しています。React は、すでに積極的に悪用されている React Server Components の重大な React2Shell RCE 脆弱性を修正しました。SAP は、SAP Solution Manager における CVSS 9.9 のコードインジェクション脆弱性を含む多数の問題を修正しています。
管理者は、まず積極的に悪用されている CVE-2025-62221、PowerShell の CVE-2025-54100、GitHub Copilot の CVE-2025-64671 を修正する更新プログラムの適用を最優先し、あわせて重大な Office および Outlook の RCE、インターネットに公開されているサーバー(Exchange、SharePoint、RRAS)向けの更新を適用すべきです。これらへの対応が完了したら、残りの Microsoft 更新プログラムと、他ベンダーからの関連パッチを、計画的なロールアウトで展開してください。脆弱性と影響を受ける製品の完全な一覧は、公式アドバイザリで確認できます。
