5月のパッチチューズデーで77件の脆弱性に対応
先日のパッチチューズデーで、Microsoftは77件の新たな脆弱性に対応するセキュリティアップデートを公開しました。特に注目すべきは、Windows環境で既に悪用が確認されている脆弱性が含まれていることです。また、WindowsとOffice製品には「緊急(Critical)」と分類される深刻な脆弱性も複数含まれています。
Microsoftのセキュリティアップデートガイドでは詳細情報が限られていますが、順次情報が公開されていきます。次回のパッチチューズデーは2025年6月10日に予定されています。
セキュリティアップデートの適用は、個人ユーザーでも企業ユーザーでも非常に重要です。特に今回のような「ゼロデイ脆弱性」(既に悪用が始まっている脆弱性)が含まれている場合は、できるだけ早く対応することをお勧めします。
Windows環境における深刻な脆弱性
今回修正された脆弱性の大部分(44件)は、Windows 10、Windows 11、Windows Serverなど、Microsoftがセキュリティアップデートを提供している各Windowsバージョンに関連しています。Windows 7や8.1はセキュリティレポートには明示されていませんが、同様の脆弱性を抱えている可能性があります。システム要件が許すなら、10月までにWindows 11 24H2にアップグレードして、継続的にセキュリティアップデートを受け取れるようにすることをお勧めします。
ゼロデイ脆弱性に要注意
Microsoftの報告によると、Windows環境では既に脆弱性が攻撃に悪用されています。特に注目すべきは「CVE-2025-30397」というリモートコード実行(RCE)の脆弱性です。Edgeをデフォルトブラウザとして使用している場合、巧妙に細工されたリンクをクリックするだけで、EdgeがInternet Explorerモードに切り替わる可能性があります。これは古いアプリケーションがまだMSHTMLプラットフォームを使用しているため、すべてのWindowsバージョンに残されている機能です。
その他のゼロデイ脆弱性には、権限昇格(EoP)の問題が含まれています。攻撃者はこれらを利用して、自分のコードにより高い権限(システム権限を含む)を与えることができます。通常、このような脆弱性はRCE脆弱性と組み合わせて使用されます。これにより、侵入したコードをシステム権限で実行できるようになり、ランサムウェアグループが好んで利用する手法となっています。
緊急(Critical)と分類されるWindows脆弱性
Microsoftはリモートデスクトップクライアントにおける2つの関連する脆弱性(CVE-2025-29966、CVE-2025-29967)を「緊急」と分類しています。ユーザーが悪意のあるRDPサーバーに接続すると、コードが挿入され実行される可能性があります。また、仮想マシンバスのRCE脆弱性(CVE-2025-29833)は、ログインしているユーザーの権限があれば悪用される可能性があります。
私が特に懸念しているのは、リモートデスクトップ関連の脆弱性です。テレワークが一般化した現在、リモートデスクトップ接続は多くの企業で日常的に使用されています。悪意のあるRDPサーバーに接続するリスクは、一見低いように思えますが、DNSハイジャックなどの手法と組み合わせることで、正規のサーバーに接続しているつもりが攻撃者のサーバーに誘導されるケースも考えられます。
Office製品における脆弱性
Microsoftは、Office製品ファミリーにおいて18件の脆弱性を修正しました。そのうち17件はリモートコード実行(RCE)の脆弱性です。2つの「use-after-free」脆弱性(CVE-2025-30377およびCVE-2025-30386)は「緊急」に分類されています。
これら2つのRCE脆弱性では、プレビューウィンドウが攻撃ベクトルとなっています。つまり、細工されたファイルがプレビューで表示されただけで攻撃が成功する可能性があります。ユーザーがファイルをクリックしたり開いたりする必要さえありません。
その他の脆弱性はMicrosoftによって「高リスク」に分類されています。9件のRCE脆弱性はExcelに、3件はSharePointに、そしてPowerPointとOutlookにそれぞれ1件ずつ影響しています。これらの脆弱性では、特別に細工されたファイルをユーザーが開く必要がありますが、一度開かれると悪意のあるコードがユーザー権限で実行される可能性があります。
特にExcelの脆弱性が多いのは、ビジネスユーザーの間でExcelファイルの共有が一般的であることを考えると懸念材料です。メールに添付されたExcelファイルを開く前に、送信元を十分に確認することが重要です。また、不審なファイルはセキュリティ対策ソフトでスキャンすることをお勧めします。
クラウドサービスの脆弱性
5月8日、MicrosoftはAzure、Dataverse、Power Appsにおける6つのセキュリティ脆弱性を修正しました。これらは「緊急」に分類されており、Azureの権限昇格脆弱性(CVE-2025-29813)と他の2つのAzure脆弱性が含まれています。これらについては、Microsoftの顧客側で特別なアクションを取る必要はありません。
クラウドサービスの脆弱性は、サービス提供者側で修正されることが多いですが、ユーザー側でも最新の情報を常に把握しておくことが重要です。特に、自社のシステムとクラウドサービスを連携させている場合は、脆弱性情報に注意を払い、必要に応じて自社システム側の対応を検討する必要があるでしょう。
まとめ:今すぐ実施すべき対策
今回のセキュリティアップデートは、特に既に悪用が確認されている脆弱性が含まれているため、早急な対応が求められます。以下の対策を検討してください:
Windowsアップデートを速やかに適用する:自動更新が有効になっていることを確認し、保留中のアップデートがあれば手動で適用しましょう。
Office製品を最新の状態に保つ:特にExcel、PowerPoint、Outlookなどの頻繁に使用するアプリケーションは常に最新版にアップデートしましょう。
不審なリンクやファイルに注意する:特にEdgeブラウザをデフォルトで使用している場合は、不明なリンクのクリックに注意が必要です。
プレビュー機能の利用に注意する:Outlookなどでファイルプレビュー機能を使用する際は、送信元が信頼できるものかを確認しましょう。
古いWindowsバージョンからの移行を検討する:Windows 7や8.1を使用している場合は、セキュリティサポートが終了しているため、できるだけ早くWindows 10または11への移行を検討しましょう。
セキュリティアップデートの適用は面倒に感じるかもしれませんが、ランサムウェアなどの攻撃からシステムを守るための重要な防御線です。「後でやろう」と先延ばしにせず、できるだけ早く対応することをお勧めします。
