11月の月例更新で明らかになった深刻な脅威
2025年11月、Microsoftは毎月恒例のセキュリティアップデートをリリースしました。今回のアップデートでは、63件の脆弱性が修正対象となっており、その中には5件の「重大」な脆弱性が含まれています。
特に注目すべきは、CVE-2025-62215という脆弱性がすでに実際の攻撃で悪用されているという事実です。これは私たちセキュリティの専門家にとって、警鐘を鳴らすべき事態と言えるでしょう。
月例更新のたびに思うのですが、脆弱性の数が多いことよりも、その質と影響範囲に注目する必要があります。今回の更新では、Windows GDI+、Microsoft Office、Visual Studioなど、多くの組織で日常的に使用されているコンポーネントに深刻な問題が見つかっています。
では、具体的にどのような脆弱性が修正されたのか、詳しく見ていきましょう。
すでに悪用されている脆弱性:CVE-2025-62215
まず最も緊急性が高いのは、実際に攻撃で悪用が確認されているCVE-2025-62215です。
この脆弱性はWindowsカーネルに存在する権限昇格の問題で、CVSS 3.1スコアは7.8と評価されています。技術的には「レースコンディション」と呼ばれる、複数の処理のタイミングが重なった際に発生する問題です。
レースコンディションとは何でしょうか?簡単に言えば、プログラムが複数の処理を同時に実行する際、そのタイミングによって予期しない動作が起こる現象です。たとえば、二人が同時に同じドアを開けようとして、鍵の状態が不安定になる状況を想像してみてください。
攻撃者がこの脆弱性を悪用すると、通常のユーザー権限から管理者権限へと昇格できてしまいます。Microsoftは攻撃の複雑さを「低い」と評価しており、比較的容易に悪用できる可能性があることを示唆しています。
すでに実際の攻撃で使われているという事実を考えると、この脆弱性への対応は最優先事項です。
5つの重大な脆弱性を詳しく解説
今回「重大(Critical)」と分類された5つの脆弱性について、それぞれの特徴と潜在的なリスクを説明します。
GDI+のリモートコード実行(CVE-2025-60724)
最もCVSSスコアが高い(9.8)のが、Microsoft Graphics ComponentのGDI+における脆弱性です。
この問題は「ヒープベースのバッファオーバーフロー」と呼ばれる古典的ながら深刻な脆弱性タイプです。攻撃者は特別に細工されたメタファイルを含む文書を作成し、ユーザーにそれを開かせることで任意のコードを実行できます。
さらに厄介なのは、Webサービスを経由した攻撃が可能だという点です。たとえば、ユーザーが文書をアップロードできるWebサービスがあった場合、攻撃者は悪意のあるファイルをアップロードするだけで、ユーザーの操作なしにサーバー上でコードを実行できる可能性があります。
幸いなことに、Microsoftは悪用の可能性を「低い」と評価していますが、影響範囲の広さを考えると油断はできません。
Nuance PowerScribe 360の情報漏洩(CVE-2025-30398)
医療機関などで使われるNuance PowerScribe 360に、個人情報を含む機密データが漏洩する脆弱性が見つかりました。CVSSスコアは8.1です。
この脆弱性の特徴は、認証なしでAPIエンドポイントにアクセスできてしまう点にあります。攻撃者は単純なAPI呼び出しを行うだけで、個人識別情報(PII)を含む機密データにアクセスできる可能性があるのです。
医療情報は特に保護が求められるデータです。この脆弱性が悪用されれば、患者のプライバシーが深刻に侵害される恐れがあります。
Microsoft Officeのリモートコード実行(CVE-2025-62199)
Microsoft Officeアプリケーションに存在するUse-After-Free(解放後使用)の脆弱性です。CVSSスコアは7.8と評価されています。
Use-After-Freeとは、プログラムが一度解放したメモリ領域に再度アクセスしてしまう問題です。これにより、攻撃者は任意のコードを実行できる可能性があります。
攻撃の手口は比較的シンプルです。攻撃者は悪意のあるファイルを作成し、ユーザーにそれを開かせるだけです。メールの添付ファイルとして送られてくる可能性も十分にあります。
ほとんどの人は日常業務でOfficeアプリケーションを使っていると思うので、この脆弱性への対応は重要です。
DirectX Graphics Kernelの権限昇格(CVE-2025-60716)
Windows DirectXにもUse-After-Freeの脆弱性が発見されています。CVSSスコアは7.0です。
この脆弱性の悪用には、レースコンディションを成功させる必要があります。Microsoftは攻撃の複雑さを「高い」と評価していますが、攻撃者が根気強く試行すれば成功する可能性はゼロではありません。
成功すれば、攻撃者は通常のユーザー権限から管理者権限へと昇格できてしまいます。
Visual StudioのAIコマンドインジェクション(CVE-2025-62214)
最後に紹介するのは、比較的新しいタイプの脆弱性です。Visual Studioに存在するAIコマンドインジェクションの問題で、CVSSスコアは6.7です。
この脆弱性は、Visual StudioのCopilot機能を悪用するものです。攻撃には複数のステップが必要で、プロンプトインジェクション、Copilot Agentとの対話、そしてビルドのトリガーという順序で進めなければなりません。
AIアシスタント機能が開発ツールに統合される時代、このような新しいタイプの脆弱性にも注意を払う必要があります。
今すぐ取るべき対策
では、私たちはどのように対応すべきでしょうか。
まず何よりも、できるだけ早く更新プログラムを適用することが重要です。特にCVE-2025-62215は既に悪用されているため、最優先で対応すべきです。
また、ユーザー教育も忘れてはいけません。特に今回のOfficeやGDI+の脆弱性は、ユーザーが悪意のあるファイルを開くことで悪用されます。不審なメールの添付ファイルを開かない、信頼できないソースからのファイルをダウンロードしないといった基本的な対策も、依然として有効です。
セキュリティは多層的なアプローチが必要です。パッチ適用、ネットワーク監視、ユーザー教育を組み合わせることで、より強固な防御体制を構築できるでしょう。
今月の月例更新は、既に悪用されている脆弱性を含むという点で、特に緊急性の高いものとなっています。組織のIT管理者の皆さんは、今すぐパッチ適用の計画を立てることをお勧めします。
