影響度の高い9件のCVEが、セキュリティの専門家によって最も懸念すべきものとして挙げられた。
CSOにとって、どの日も悪い日になり得る。しかし毎月第2火曜日――パッチチューズデー――は、ほぼ確実にそうした日の一つになる。もっとも、運が良ければ厄介なだけで、壊滅的ではない。
だが2025年は、いくつかがCSOの胃を痛めた。Microsoftは1,246件のCVEに対する緩和策を提供し、そのうち158件は重大(Critical)に評価された。41件はゼロデイであり、Tenableの研究者の推計では、2025年のパッチチューズデー脆弱性全体の約38.3%を権限昇格の脆弱性が占め、次いでリモートコード実行の欠陥が約30%だったという。
私たちはセキュリティ専門家に、これらのバグのうちどれが最も懸念されるかを尋ねた。回答は次のとおりだ。
新たな戦術とAIが状況を変える
2024年よりも今年は多くの脆弱性が見つかったと、パッチ自動化プロバイダーAction1のフィールドCTOであるGene Moodyは述べる。これは過去5年間続く増加傾向だという。
ただし一つ違う点がある。脅威アクターによるAIの利用に加え、巧妙な新戦術により、セキュリティチームがパッチを適用できる時間はこれまで以上に短くなっている。
「攻撃グループは、最初の攻撃をパッチチューズデーの翌日まで待つようなことをします。そうするとMicrosoftは窮地に立たされる。大規模な臨時(アウトオブバンド)更新を出すか、次のパッチチューズデーまで待つしかなくなるからです」と彼は言う。「つまり、30日サイクルや四半期サイクルでパッチを当てているなら、時代遅れです。数週間から場合によっては数カ月、無防備なまま過ごすことになり、そうしている言い訳はありません。」
「パッチを当てられるものではなく、当てるべきものにパッチを当てなければならない」とMoodyは付け加えた。「30日かけてテストしたり、停止時間を計画したりする余裕はありません。『全部まとめて一気に展開する』と言える贅沢はもうない。『まず自分を致命傷にするものから潰す』と言う必要があり、これ(最初の一群)を自動化すれば、残りを分析・精査するための工数をより多く確保できます。」
例えば、今年見つかった最悪級の穴の一つであるToolShell(CVE-2025-53770)は、オンプレミスのSharePoint 2016/2019サーバーにおける2つの脆弱性を連鎖させたものだ。認証されていない攻撃者がリモートでコードを実行できる。CVSSスコアは9.8で、悪用は初期アクセスブローカーのお気に入りになっている。
Tenableのシニアスタッフ・リサーチエンジニアであるScott Cavezaは、想定される悪用を「悪夢のシナリオ……CSOが何としても避けたいもの」と表現した。 しかしMoodyは、現在では大半の大企業がSharePointにクラウドからアクセスしていると指摘する。したがって、そのCVSSスコアが重要なのは、社内にSharePointサーバーを置いている組織に限られる。
低スコアの脆弱性にも注意
Moodyによれば、スコアが低めの脆弱性でも、迅速に対処しなければ深刻な被害を招き得たものがいくつかある。具体的には次のとおりだ。
- CVE 2025 24993:既定でほぼすべてのWindowsシステムに影響するWindows NTFSのメモリ破損問題で、権限のない攻撃者によるローカルコード実行を可能にした。
- CVE 2025 24990:Windowsに同梱されるAgereモデムドライバーの権限昇格欠陥で、実際にAgereモデムが使用されていなくても、攻撃者がほとんど手間なくSYSTEMへ昇格でき、限定的なアクセスを完全な制御へと変えられた。
- CVE 2025 62221:Windowsのクラウドファイル・ミニフィルタードライバーにおけるuse-after-freeバグで、実際に悪用されており、コード実行が達成されるとSYSTEMへの確実な経路を提供した。初期アクセスは必要だったが、Moodyは、実行が容易で必要スキルも低く、完全制御までの道のりが非常に短いと指摘する。
- CVE 2025 53779:KerberosのBadSuccessorによる権限昇格で、Active Directory環境でトークンを偽装することで、ドメイン認証済みの任意のアカウントが権限昇格でき、ドメインレベルの侵害を招く恐れがあった。ブログで、Action1の脆弱性リサーチディレクターであるJack Bicerはこの穴を「ランサムウェア運用者への贈り物……ドメイン管理者への直通エレベーターを提供する」と呼んだ。
Cavezaはまた、権限昇格の欠陥2件――WindowsカーネルのCVE-2025-24983と、Windows共通ログファイルシステムドライバーのCVE-2025-29824――にも注意を促した。いずれもPipeMagicバックドアと組み合わせてランサムウェアを拡散するために使われたためだ。
彼はさらに
- CVE-2025-26633:Microsoft Management Console(MMC)に影響するセキュリティ機能バイパスの脆弱性。複数の脅威アクターが悪用したゼロデイで、MSC EvilTwinトロイの木馬ローダーを含むマルウェアの展開に使われ、バックドアや情報窃取型マルウェアなど複数のマルウェア亜種と併用されてきた。
- CVE-2025-33053:インターネットショートカットファイルに影響するリモートコード実行の脆弱性。Check Point Researchは、このゼロデイ欠陥がStealth Falconとして知られるAPTに悪用されていたことを発見しており、同APTはこの欠陥を使ってHorus Agentマルウェアを配布した。
プレビューペイン攻撃に警戒
Fortraで研究開発担当アソシエイトディレクターを務めるTyler Regulyは、CSOはWindowsとOfficeにおけるプレビューペイン攻撃への防御を考えるべきだと述べた。脅威アクターは、従業員が細工されたファイルやメールをプレビューした際に悪意あるコードを実行するために、これらの欠陥を悪用し得た。
一例がCVE-2025-30377で、5月に公表された際、ZeroPathの研究者はこれを「Microsoft Officeで発見された脆弱性の中でも最も危険なものの一つ」と呼んだ。
こうした攻撃は「組織にとって最大級のリスクの一部を占める」とRegulyは言う。「メールが表示された瞬間に動くサイレントな悪用は、ほとんどの人がプレビューペインを使っている以上、潜在的なリスクです。より影響の大きい脆弱性が他にもあり、きっと別の人が注目するでしょうが、私があえて指摘し、他の人にも監視してほしいのはこの種の脆弱性です。」
CVSSスコアは「パズルの一部にすぎない」
MoodyはCSOに対し、CVSSを単なる点数として捉えるのをやめ、点数を作り上げるための手段として考えるよう促した。CVSSスコアは「パズルの一部にすぎない」という。
多くのCSOは、脆弱性が自社固有のIT環境や懸念事項とどう関係するかについての基礎的理解が不足していると彼は指摘する。「人はCVSSを追いかけがちです。『9.5、悪い』と。ですが9.5は理論上の“悪さ”です。ラボでうまくやれた場合の最悪ケースであって、その脆弱性があなたの環境ではそもそも発現しないかもしれない。あるいは環境に存在しても、無害な形でしか存在しないかもしれない。
「対照的に、6.2のほうが、今すぐ止めるべき最重要のものかもしれません。なぜなら、それが1万台のインターネットに面したWebサーバー上にあるからです。」
