2025年12月9日、Microsoftは恒例のパッチチューズデーにおいて、Windowsオペレーティングシステムおよび関連ソフトウェアに存在する多数のセキュリティ脆弱性に対する更新プログラムを公開しました。この年の最後のパッチリリースは、サイバーセキュリティコミュニティに大きな波紋を広げ、特に活発に悪用されているゼロデイ脆弱性や、AIベースのコーディングアシスタントを標的とする新たな脅威の存在が明らかになりました。
今回の更新では、Krebs on SecurityおよびThe Hacker Newsの報道によれば56件、CyberScoopの報告では57件、Qualysの集計では72件の脆弱性が対処されました。これらの数値には、Microsoft Edge(Chromiumベース)の15件から17件の脆弱性も含まれており、情報源によって集計範囲に若干の差異が見られます。しかし、いずれの報告も、年末に向けて企業や個人が直面するセキュリティリスクの大きさを浮き彫りにしています。
特筆すべきは、QualysとThe Hacker Newsが報じた3件のゼロデイ脆弱性です。そのうち1件は既に活発に悪用されており、残りの2件は公開情報として知られていました。これらの脆弱性は、攻撃者がシステムへの不正アクセスや特権昇格を達成するための主要な経路となり得るため、迅速なパッチ適用が不可欠とされています。また、Microsoftは、Critical(緊急)と評価された3件の脆弱性も修正しましたが、CyberScoopは今月「Critical」な脆弱性は開示されなかったと報じており、情報源間で食い違いが見られます。
2025年全体で見ると、Microsoftが修正した脆弱性の総数は驚異的な数字に達しています。TenableのSatnam Narang氏によれば1,129件、Fortraのデータでは1,275件、Trend MicroのDustin Childs氏の報告では1,139件と、情報源によって数値に若干の差異が見られるものの、いずれも1,000件を超える膨大な数に上ります。これは2024年に続き2年連続で1,000件を超え、パッチチューズデー開始以来3度目の記録であり、Microsoft製品の広範な利用と複雑性が、常に新たなセキュリティ課題を生み出している現状を示しています。
Windows Cloud Files Mini Filter Driverの悪用された特権昇格
今回修正されたゼロデイ脆弱性の中で最も注目されたのは、CVE-2025-62221です。これは「Windows Cloud Files Mini Filter Driver」に存在する特権昇格の脆弱性で、Windows 10以降のバージョンに影響を与えます。この脆弱性は、use-after-freeの欠陥が悪用されることで、認証された攻撃者がローカルで特権を昇格し、最終的にSYSTEM権限を獲得する可能性がありました。
Rapid7のリードソフトウェアエンジニアであるAdam Barnett氏は、「ミニフィルターはOneDrive、Google Drive、iCloudといったサービスに不可欠な要素であり、これらのアプリケーションがインストールされていなくてもWindowsのコアコンポーネントとして存在するため、特に懸念される」と指摘しています。この脆弱性が悪用されることで、攻撃者は低い権限でシステムに侵入した後、この欠陥を利用してシステム全体の制御を奪取することが可能となります。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性が活発に悪用されていることを認識し、既知の悪用されている脆弱性(KEV)カタログに追加しました。連邦政府機関に対しては、2025年12月30日までにパッチを適用するよう義務付けており、その緊急性の高さがうかがえます。Action1の共同創設者であるMike Walters氏は、フィッシングやウェブブラウザの脆弱性などを通じて低権限のアクセスを得た攻撃者が、CVE-2025-62221と組み合わせることでホストを完全に掌握し、カーネルコンポーネントの展開や署名済みドライバーの悪用による防御回避、さらには資格情報の窃取と組み合わせてドメイン全体の侵害を達成する可能性を警告しています。
Trend Microの脅威アウェアネス責任者であるDustin Childs氏は、このような特権昇格のバグは、コード実行のバグと組み合わされてシステムを乗っ取るためによく利用されると述べています。この脆弱性の悪用は、攻撃者が初期侵入後にシステム内で横展開し、より深いアクセス権を獲得するための重要なステップとなるため、組織は速やかに対応し、システムのセキュリティ体制を強化する必要があります。
AIコーディング環境を揺るがす「IDEsaster」の波紋
今回のパッチチューズデーで修正されたもう一つの注目すべきゼロデイ脆弱性は、CVE-2025-64671です。これは、MicrosoftとGitHubが使用するJetBrains AIベースのコーディングアシスタント向けGitHub Copilotプラグインにおけるリモートコード実行(RCE)の脆弱性です。このコマンドインジェクションの欠陥は、認証されていない攻撃者がリモートでコードを実行することを可能にするもので、AIを活用した開発環境のセキュリティに対する新たな懸念を浮上させました。
Immersiveの脅威研究担当シニアディレクターであるKev Breen氏は、「この脆弱性は、大規模言語モデル(LLM)を騙して、ユーザーの『自動承認』設定をバイパスするコマンドを実行させることで、攻撃者が任意のコードを実行することを可能にする」と説明しています。これは、ユーザーが意図しない形でLLMが生成するプロンプトが改ざんされ、悪意のあるコマンドが実行される「クロスプロンプトインジェクション」と呼ばれる手法によって達成される可能性があります。
このCVE-2025-64671は、セキュリティ研究者Ari Marzuk氏が「IDEsaster」(IDEは統合開発環境の略)と名付けた、より広範で体系的なセキュリティ危機の一部として位置づけられています。IDEsasterは、Cursor、Windsurf、Gemini CLI、Claude Code、Kiro.dev、JetBrains Junie、Roo Codeなど、市場をリードする12以上のAIコーディングプラットフォームで報告された30以上の個別の脆弱性を包含しています。これらの問題は、IDEにエージェント機能を追加した結果として生じる新たなセキュリティリスクであり、AIエージェントに対するプロンプトインジェクション攻撃とIDEの基本レイヤーを組み合わせることで、情報漏洩やコマンド実行につながる可能性があります。
Marzuk氏自身がこの脆弱性を発見し報告したとされており、彼は「これは脆弱なツールを使用する『古い』攻撃チェーンであり、IDEsasterの新しい攻撃チェーンの一部ではない」と述べつつも、「具体的には、ユーザーが設定した許可リストをバイパスできる脆弱な『コマンド実行』ツールが悪用される」と指摘しています。GitHub Copilot for Visual Studio Codeも同様の脆弱性の影響を受けることが判明していますが、Microsoftはこれを「Medium」の深刻度と評価し、CVEは割り当てていません。AI開発ツールの普及に伴い、これらのツールが新たな攻撃ベクトルとして悪用されるリスクが高まっていることを示唆しています。
PowerShellとOffice製品に潜むリモートコード実行の危険性
今回修正されたもう一つの公開済みゼロデイ脆弱性は、CVE-2025-54100です。これはWindows PowerShellに存在するリモートコード実行(RCE)の脆弱性で、Windows Server 2008以降のバージョンに影響します。このコマンドインジェクションの欠陥は、認証されていない攻撃者が、細工されたPowerShellコマンド(例えば`Invoke-WebRequest`)を実行するユーザーのセキュリティコンテキストでコードを実行することを可能にします。
Action1のAlex Vovk氏は、この脅威について「ソーシャルエンジニアリングを用いて、ユーザーや管理者に`Invoke-WebRequest`を使用するPowerShellスニペットを実行させることで、リモートサーバーが細工されたコンテンツを返し、解析の欠陥をトリガーしてコード実行やインプラントの展開につながる」と説明しています。更新プログラムの適用後、`Invoke-WebRequest`コマンドを使用すると、スクリプト実行に関連する潜在的なセキュリティリスクについて警告する確認プロンプトが表示されるようになり、ユーザーへの注意喚起が強化されました。
さらに、Microsoft Office製品にも深刻なリモートコード実行の脆弱性が修正されました。CVE-2025-62554とCVE-2025-62557はMicrosoft Officeに影響する脆弱性で、プレビューペインで細工された電子メールメッセージを表示するだけで悪用される可能性があります。Qualysの分析によれば、これらはそれぞれタイプコンフュージョンとuse-after-freeの欠陥であり、認証されていない攻撃者がリモートでコードを実行する可能性があります。
また、Microsoft Outlookに関連するCVE-2025-62562もCritical(緊急)と評価されたリモートコード実行の脆弱性です。Microsoftは、この脆弱性ではプレビューペインが攻撃ベクトルではないと説明していますが、use-after-freeの欠陥が悪用されることで、認証されていない攻撃者がリモートでコードを実行する可能性があるとされています。これらのOffice製品の脆弱性は、日常業務で広く利用されるアプリケーションが攻撃の入り口となるリスクを改めて示しており、迅速なパッチ適用が求められます。
Microsoftが警告する「悪用されやすい」特権昇格の盲点
今回のパッチチューズデーでは、Critical(緊急)とは評価されなかったものの、Microsoftが「悪用される可能性が高い」と特に警告した複数の特権昇格の脆弱性も修正されました。これらには、CVE-2025-62458(Win32k)、CVE-2025-62470(Windows Common Log File System Driver)、CVE-2025-62472(Windows Remote Access Connection Manager)、そしてCVE-2025-59516およびCVE-2025-59517(Windows Storage VSP Driver)が含まれます。
ImmersiveのKev Breen氏は、「特権昇格の脆弱性は、ホスト侵害を伴うほぼすべてのインシデントで観測される」と指摘しています。Microsoftがこれらの脆弱性を特に「悪用されやすい」とマークした具体的な理由は不明ですが、Breen氏は「これらのコンポーネントの多くは過去に実際に悪用された経緯があるか、あるいは以前のCVEに関する十分な技術的詳細が存在するため、脅威アクターがこれらを武器化しやすい可能性がある」と推測しています。これらの脆弱性は、アクティブに悪用されているわけではないものの、攻撃者がシステム内で横展開し、より高い権限を獲得するための重要な手段となり得るため、早期のパッチ適用が強く推奨されます。
特権昇格の脆弱性は、多くの場合、初期侵入後の攻撃チェーンの重要なステップとして機能します。例えば、フィッシング攻撃やウェブアプリケーションの脆弱性を介してシステムに侵入した攻撃者は、これらの特権昇格の欠陥を利用して、一般ユーザー権限から管理者権限、さらにはSYSTEM権限へとアクセスレベルを引き上げます。これにより、攻撃者はシステム設定の変更、マルウェアのインストール、データの窃取、他のシステムへの横展開など、より広範な悪意ある活動を実行できるようになります。
これらの脆弱性が「Critical」と評価されなかったとしても、その潜在的な影響は決して軽視できません。セキュリティラベルだけで脅威の深刻度を判断するのではなく、実際の攻撃シナリオにおける役割を理解し、リスクベースのアプローチでパッチ適用を優先することが重要です。企業は、これらの「悪用されやすい」と指定された脆弱性に対して、ゼロデイ脆弱性やCriticalな脆弱性と同じレベルの緊急性をもって対処すべきであり、包括的な脆弱性管理戦略の一環として、これらの修正を迅速に展開する必要があります。
2025年の総括とセキュリティ業界への警鐘
2025年のMicrosoftのパッチリリースは、年間を通じて膨大な数の脆弱性に対処した年として記憶されるでしょう。前述の通り、Tenable、Fortra、Trend Microといったセキュリティ企業がそれぞれ異なる総数を報告しているものの、いずれも1,000件を超える脆弱性が修正されたことは共通しており、これは2020年に次ぐ、あるいはそれに匹敵する記録的な数値です。Trend MicroのDustin Childs氏は、「Microsoftのポートフォリオが増加し続け、AI関連のバグがより普及するにつれて、この数字は2026年にはさらに高くなる可能性が高い」と予測しており、今後のセキュリティ課題の増大を示唆しています。
Microsoft製品だけでなく、Adobeも12月のパッチリリースで広範な脆弱性に対処しました。Qualysの報告によると、AdobeはColdFusion、Experience Manager、DNG Software Development Kit (SDK)、Acrobat and Reader、Creative Cloud Desktop Applicationの5つのセキュリティアドバイザリを通じて、合計138件の脆弱性を修正しました。これらのうち15件はCritical(緊急)と評価されており、セキュリティ機能のバイパス、任意のファイルシステム読み取り、メモリ露出、および任意のコード実行につながる可能性がありました。これは、広範なソフトウェアエコシステム全体でセキュリティ対策が継続的に求められている現状を浮き彫りにしています。
CISAがCVE-2025-62221を既知の悪用されている脆弱性カタログに追加し、連邦政府機関に迅速なパッチ適用を義務付けたことは、ゼロデイ脆弱性への対応が単なる推奨事項ではなく、必須のセキュリティ対策であることを明確に示しています。企業は、パッチ適用を単なる月次タスクとしてではなく、リスクベースのプロセスとして捉え、ビジネスの稼働時間を考慮しながら、最も影響の大きい脆弱性から優先的に対処する体制を構築する必要があります。
2025年のパッチチューズデーは、サイバー脅威が進化し続ける中で、ソフトウェアベンダーが直面する課題と、ユーザーがセキュリティ維持のために負う責任の重さを改めて浮き彫りにしました。特にAI技術の急速な発展は、新たな攻撃ベクトルと脆弱性の種類を生み出しており、セキュリティ専門家は、これらの進化する脅威に対して常に警戒し、適応し続ける必要があります。企業は、単にパッチを適用するだけでなく、包括的な脆弱性管理、脅威インテリジェンスの活用、そして従業員のセキュリティ意識向上を組み合わせた多層防御戦略を強化することが不可欠です。
パッチ適用を巡るユーザーの混乱と企業の課題
Microsoftのパッチ適用は、多くの企業や個人ユーザーにとって毎月の重要なタスクですが、そのプロセスは常にスムーズに進むわけではありません。Krebs on Securityのコメント欄には、今回のパッチチューズデーに関連して、ユーザーからの様々な問題報告や不満が寄せられています。例えば、Windows 10ユーザーが更新プログラムを受け取れなかったり、意図しないWindows 11へのアップグレードが強制されたりする事例が報告されています。
あるユーザーは、6年物のWindows 10ノートパソコンがパッチ適用後にWindows 11に自動更新され、操作不能になったと訴えています。幸いにもWindows 11にはWindows 10に戻すオプションがありましたが、その後、PCがランダムにシャットダウンする問題が発生し、最終的にはマザーボードの故障と診断されたとのことです。このような事例は、Microsoftの更新プログラムが既存のハードウェアや設定に予期せぬ影響を与える可能性を示唆しており、ユーザーの不満を増大させています。
また、GitHub Copilotのプライバシーに関する懸念や、Malicious Software Removal Toolのファイル命名規則の混乱、さらにはgpedit.mscの利用に関する問題など、多岐にわたるユーザー体験が共有されています。これらのコメントは、Microsoftが提供するセキュリティ更新が、単なる技術的な修正に留まらず、広範なユーザーベースにおける互換性、使いやすさ、そして信頼性といった側面にも深く関わっていることを示しています。
企業にとって、これらのユーザー側の混乱は、パッチ管理の複雑さをさらに増大させる要因となります。大規模な環境でパッチを展開する際には、互換性テスト、ユーザーへの影響評価、そして潜在的な問題への迅速な対応計画が不可欠です。PirlantaのShankar氏は、「パッチチューズデーを、単なる『月次タスク』ではなく、リスクベースのプロセスに変えることが重要だ」と述べ、ビジネスの稼働時間を確保しながら、どの脆弱性を優先的にパッチ適用すべきかを判断することの重要性を強調しています。このような課題は、セキュリティ対策が技術的な側面だけでなく、運用面やユーザー体験にも深く根ざしていることを示しています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Microsoft Patch Tuesday, December 2025 Edition – Krebs on Security - https://krebsonsecurity.com/2025/12/microsoft-patch-tuesday-december-2025-edition/
- -Microsoft and Adobe Patch Tuesday, December 2025 Security Update Review | Qualys - https://blog.qualys.com/vulnerabilities-threat-research/2025/12/09/microsoft-patch-tuesday-december-2025-security-update-review
- -Microsoft Issues Security Fixes for 56 Flaws, Including Active Exploit and Two Zero-Days - https://thehackernews.com/2025/12/microsoft-issues-security-fixes-for-56.html
- -Microsoft’s last Patch Tuesday of 2025 addresses 57 defects, including one zero-day | CyberScoop - https://cyberscoop.com/microsoft-patch-tuesday-december-2025/