2025年最後の大規模セキュリティアップデート

12月のパッチチューズデーで、Microsoftは56件もの新たな脆弱性に対するセキュリティアップデートをリリースしました。これにより、2025年に修正された脆弱性の総数は1,139件という驚異的な数字に達しています。

今回のアップデートは、WindowsやOfficeだけでなく、Azure、Copilot、Defender、Exchange、PowerShellなど、Microsoftの主要製品全般に及んでいます。次回の大規模アップデートは2026年1月13日に予定されていますが、今回のアップデートにはすでに実際の攻撃に悪用されているゼロデイ脆弱性が含まれているため、早急な対応が必要です。

実際に悪用されているゼロデイ脆弱性

特に注意が必要なのが、CVE-2025-62221という脆弱性です。これはクラウドファイルミニフィルタードライバーにおける権限昇格の脆弱性で、すでに実際の攻撃に利用されていることが確認されています。

この脆弱性の危険性は、攻撃者がリモートコード実行の脆弱性と組み合わせることで、システムレベルの権限でコードを実行できる点にあります。つまり、攻撃者はあなたのコンピューターを完全に制御できる可能性があるのです。Windows 10、Windows 11、Windows Serverなど、サポートされているすべてのWindowsバージョンが影響を受けます。

同様のタイプの脆弱性として、CVE-2025-62454とCVE-2025-62457も修正されていますが、こちらは現時点で実際の攻撃には使われていないようです。

Officeアプリケーションの深刻な脆弱性

今回のアップデートでは、Office製品に関する15件の脆弱性が修正されました。そのうち14件がリモートコード実行の脆弱性です。

特に深刻なのは、CVE-2025-62554とCVE-2025-62557という2つの脆弱性でしょう。これらは「クリティカル」に分類されており、プレビューウィンドウが攻撃経路となります。どういうことかというと、ファイルを実際に開かなくても、プレビュー表示しただけで攻撃が成立してしまうのです。

想像してみてください。メールに添付されたExcelファイルをプレビューで確認しようとしただけで、知らないうちにマルウェアに感染してしまう可能性があるということです。これは非常に危険な状況と言えます。

その他のOffice関連の脆弱性も「高リスク」に分類されています。こちらは実際にファイルを開く必要がありますが、それでも十分に危険です。Excel、Word、Outlook、Accessなど、日常的に使用するアプリケーションが影響を受けています。