マイクロソフトは2025年11月11日、月例のセキュリティ更新プログラムを公開し、Windows Kernelに存在するゼロデイ脆弱性(CVE-2025-62215)を含む、合計63件のセキュリティ上の欠陥を修正しました。この更新プログラムは、現在悪用されている脆弱性に対処するものであり、システム管理者にとって喫緊の課題となっています。影響を受けるシステムを使用している場合は、速やかに更新プログラムを適用することが推奨されます。
今回のセキュリティ更新プログラムでは、4件の「緊急」と評価された脆弱性も修正されています。これらの脆弱性のうち2件はリモートコード実行(RCE)の脆弱性であり、1件は特権昇格、そして残りの1件は情報漏洩の脆弱性です。リモートコード実行の脆弱性が悪用されると、攻撃者は標的のシステム上で任意のコードを実行できるようになるため、特に注意が必要です。特権昇格の脆弱性は、攻撃者がシステム内でより高い権限を取得するために悪用される可能性があります。情報漏洩の脆弱性は、機密情報が不正にアクセスされるリスクを高めます。
マイクロソフトは、このゼロデイ脆弱性(CVE-2025-62215)について、Microsoft Threat Intelligence Center(MSTIC)とMicrosoft Security Response Center(MSRC)が発見と報告を行ったと発表しています。しかし、脆弱性の具体的な悪用方法については、現時点では詳細を明らかにしていません。セキュリティ専門家の間では、この脆弱性が他の脆弱性と組み合わせて悪用されることで、より深刻な被害をもたらす可能性があると指摘されています。
Windows 10のサポートが終了したことを受け、今回のパッチチューズデーは、拡張セキュリティ更新プログラム(ESU)の最初のリリースとなります。Windows 10を使い続けているユーザーは、Windows 11へのアップグレードを検討するか、ESUプログラムに登録する必要があります。ESUプログラムへの登録に問題が発生しているユーザーのために、マイクロソフトは登録を妨げるバグを修正する緊急アップデートをリリースしました。
Windows Kernelのゼロデイ脆弱性(CVE-2025-62215)の詳細
CVE-2025-62215は、Windows Kernelにおける特権昇格の脆弱性です。マイクロソフトのセキュリティアドバイザリによると、この脆弱性は、Windows Kernelにおける共有リソースを使用した同時実行における不適切な同期(「競合状態」)に起因します。攻撃者がこの脆弱性を悪用するには、ローカルで認証された攻撃者が、競合状態をうまく利用する必要があります。競合状態を悪用することで、攻撃者はシステム権限を取得できる可能性があります。
Action1の社長兼共同創設者であるMike Walters氏は、「この競合状態と二重解放の欠陥により、ローカルアクセス可能な低特権の攻撃者がカーネルメモリを破損させ、システム権限に昇格できる」と説明しています。Walters氏はさらに、「攻撃にはローカルコードの実行またはローカルアクセス、および競合のタイミングを成功させる必要があり、これは複雑で脆弱であり、通常はプールの整理と同時スレッドが必要です。攻撃者は低い特権のみを必要とし、他のユーザーの操作は必要ありません」と述べています。
セキュリティ研究者のBen McCarthy氏は、「低特権のローカルアクセスを持つ攻撃者は、この競合状態を繰り返しトリガーしようとする特別に細工されたアプリケーションを実行できます。目標は、複数のスレッドが非同期的な方法で共有カーネルリソースと相互作用するようにし、カーネルのメモリ管理を混乱させ、同じメモリブロックを2回解放させることです。この成功した「二重解放」はカーネルヒープを破損させ、攻撃者がメモリを上書きしてシステムの実行フローをハイジャックできるようにします」と解説しています。
この脆弱性は、攻撃者がシステムに初期アクセスを獲得した後、特権を昇格させるために悪用される可能性があると考えられています。初期アクセスは、ソーシャルエンジニアリング、フィッシング、または別の脆弱性の悪用など、他の手段を通じて獲得される可能性があります。複数の脆弱性を組み合わせることで、リモートコード実行やサンドボックスエスケープが可能になり、リモート攻撃がシステム全体を制御する攻撃に発展する可能性があります。
その他の重要な脆弱性と修正
今回のパッチチューズデーでは、CVE-2025-62215以外にも、複数の重要な脆弱性が修正されています。その中でも特に注目すべきは、Microsoft Graphics Component(GDI+)に存在するリモートコード実行の脆弱性(CVE-2025-60724)です。CVSSスコアは9.8と評価されており、緊急度の高い脆弱性と言えます。この脆弱性は、サーバー側のアプリケーションが特別に細工されたメタファイルを自動的に解析する際に、脆弱なGDI+ライブラリが呼び出されることで発生します。これにより、ヒープオーバーフローが発生し、攻撃者がメモリを破損させてサーバー上でリモートコードを実行できる可能性があります。
ImmersiveのリードサイバーセキュリティエンジニアであるBen McCarthy氏は、「この脆弱性により、サーバー側のアプリケーションが特別に細工されたメタファイルを自動的に解析する際に、脆弱なGDI+ライブラリが呼び出されます。これにより、ヒープオーバーフローが発生し、攻撃者がメモリを破損させてサーバー上でRCEを獲得できます」と述べています。McCarthy氏はさらに、「このパッチは組織の最優先事項である必要があります。この脆弱性は、ファイルを公開されているWebアプリケーションにアップロードするだけでトリガーできるため、ユーザーが提供したドキュメントを処理するすべてのシステムがリスクにさらされます」と警告しています。
また、Windows Subsystem for Linux GUI(CVE-2025-62220)にもリモートコード実行の脆弱性が存在します。この脆弱性のCVSSスコアは8.8と評価されています。さらに、Windows Kerberos(CVE-2025-60704)には、特権昇格の脆弱性が存在します。この脆弱性は、暗号化手順の欠落を利用して、攻撃者が管理者権限を取得することを可能にします。SilverfortによってCheckSumというコードネームが付けられています。
Silverfortの研究者であるEliran Partush氏とDor Segal氏は、この脆弱性をKerberos制約付き委任の脆弱性と説明しています。攻撃者は、中間者(AitM)攻撃によって任意のユーザーを偽装し、ドメイン全体を制御できるようになります。攻撃者がこの脆弱性を悪用した場合、特権を昇格させ、組織内の他のマシンに水平展開することができます。さらに懸念されるのは、攻撃者が社内の任意のユーザーを偽装し、無制限のアクセス権を取得したり、ドメイン管理者になることも可能になることです。
その他のベンダーからのセキュリティアップデート
マイクロソフトだけでなく、他のベンダーも過去数週間にわたって、複数の脆弱性を修正するためのセキュリティアップデートをリリースしています。Adobe、Cisco、Fortinet、Google、Ivanti、QNAP、SAP、Samsungなどが、それぞれの製品に対するアップデートを公開しています。これらのアップデートには、InDesign、InCopy、PhotoShop、Illustrator、Substance 3D、Pass、Adobe FormatなどのAdobe製品、Cisco ASA、Unified Contact Center、Identity servicesなどのCisco製品、FortiOSなどのFortinet製品、AndroidなどのGoogle製品が含まれています。
特に注目されるのは、QNAPがPwn2Own Ireland 2025ハッキングコンテスト中にネットワーク接続ストレージ(NAS)デバイスをハッキングするために悪用された7つのゼロデイ脆弱性に対するセキュリティアップデートをリリースしたことです。また、SAPはSQL Anywhere Monitorの10/10ハードコードされた認証情報の脆弱性の修正を含む、複数の製品に対する11月のセキュリティアップデートをリリースしました。これらのアップデートは、企業がセキュリティリスクを軽減するために不可欠です。
影響と対策
今回のマイクロソフトのセキュリティ更新プログラムは、広範囲にわたるシステムに影響を与えるため、システム管理者は迅速に更新プログラムを適用する必要があります。特に、Windows Kernelのゼロデイ脆弱性(CVE-2025-62215)は、すでに悪用されているため、早急な対応が求められます。また、Microsoft Graphics Component(GDI+)のリモートコード実行の脆弱性(CVE-2025-60724)も、CVSSスコアが高く、攻撃者が容易に悪用できる可能性があるため、優先的に対応する必要があります。
Windows 10のサポートが終了したことを受け、拡張セキュリティ更新プログラム(ESU)の利用を検討しているユーザーは、ESUプログラムへの登録が正常に完了していることを確認する必要があります。マイクロソフトは、ESUプログラムへの登録を妨げるバグを修正する緊急アップデートをリリースしているため、必要に応じて適用してください。また、他のベンダーがリリースしたセキュリティアップデートも、自社のシステムに適用されていることを確認し、最新の状態に保つように努めてください。
組織は、定期的な脆弱性スキャンを実施し、未修正の脆弱性を特定して対応する必要があります。また、多要素認証(MFA)を実装し、強力なパスワードポリシーを適用することで、攻撃者がシステムに侵入するのを防ぐことができます。さらに、従業員に対するセキュリティ意識向上トレーニングを実施し、フィッシング攻撃やソーシャルエンジニアリング攻撃に対する防御力を高めることも重要です。これらの対策を講じることで、組織はサイバー攻撃のリスクを軽減し、セキュリティ体制を強化することができます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Microsoft Fixes Windows Kernel Zero Day in November Patch Tuesday - https://www.infosecurity-magazine.com/news/microsoft-windows-kernel-zero-day/
- -Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws - https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/
- -Microsoft Fixes 63 Security Flaws, Including a Windows Kernel Zero-Day Under Active Attack - https://thehackernews.com/2025/11/microsoft-fixes-63-security-flaws.html