はじめに
マイクロソフトは2025年12月の月例セキュリティ更新プログラムをリリースしました。今回、Windowsオペレーティングシステムと関連ソフトウェアの56件のセキュリティ脆弱性が修正され、その中には既に悪用されているゼロデイ脆弱性1件と、公に開示されていた2件が含まれます。2025年全体では、マイクロソフトは合計1,129件の脆弱性にパッチを適用しました。これは2024年と比較して11.9%の増加であり、年間1,000件を超える脆弱性修正が2年連続、通算3度目となります。
緊急性の高いゼロデイ脆弱性
今回修正されたゼロデイ脆弱性「CVE-2025-62221」は、Windows 10以降のバージョンに影響を与える特権昇格の脆弱性です。この脆弱性は「Windows Cloud Files Mini Filter Driver」というコンポーネントに存在します。Rapid7の主任ソフトウェアエンジニアであるアダム・バーネット氏は、「ミニフィルターはOneDrive、Google Drive、iCloudなどのサービスに不可欠であり、これらのアプリがインストールされていなくてもWindowsのコアコンポーネントであり続けるため、特に懸念されます」と述べています。
注目の脆弱性:AIコーディングツール「IDEsaster」
今月のパッチで特に注目されるのは、公に開示された脆弱性の一つである「CVE-2025-64671」です。これは、JetbrainsのAIベースコーディングアシスタント向けGitHub Copilotプラグインにおけるリモートコード実行の脆弱性です。この脆弱性により、攻撃者は大規模言語モデル(LLM)を欺いてユーザーの「自動承認」設定をバイパスするコマンドを実行させ、任意のコードを実行できる可能性があります。
Immersiveの脅威リサーチ担当シニアディレクター、ケブ・ブリーン氏は、この脆弱性がセキュリティ研究者アリ・マルズーク氏が提唱する「IDEsaster(IDE災害)」と呼ばれる広範なセキュリティ危機の一部であると指摘しています。IDEsasterは、Cursor、Windsurf、Gemini CLI、Claude Codeなど、市場をリードする約12のAIコーディングプラットフォームで報告された30以上の独立した脆弱性を包含するものです。
その他の重要な修正
マイクロソフトが最も重大な「クリティカル」と評価した脆弱性は3件でした。これらの脆弱性は以下の通りです:
- CVE-2025-62554 (Microsoft Office): プレビューペインで細工されたメールを表示するだけで悪用される可能性があります。
- CVE-2025-62557 (Microsoft Office): 上記と同様、プレビューペインでのメール表示による悪用の可能性があります。
- CVE-2025-62562 (Microsoft Outlook): この脆弱性ではプレビューペインは攻撃ベクトルではないとされています。
また、今月のパッチで特に悪用される可能性が高いとマイクロソフトが指摘した、非クリティカルな特権昇格の脆弱性も複数存在します。これには、Win32k (CVE-2025-62458)、Windows Common Log File System Driver (CVE-2025-62470)、Windows Remote Access Connection Manager (CVE-2025-62472)、Windows Storage VSP Driver (CVE-2025-59516、CVE-2025-59517)などが含まれます。ブリーン氏は、「これらは積極的に悪用されているわけではないものの、早急にパッチを適用すべきです」と強調しています。
もう一つの公に開示された脆弱性「CVE-2025-54100」は、Windows Server 2008以降のWindows Powershellにおけるリモートコード実行のバグで、認証されていない攻撃者がユーザーのセキュリティコンテキストでコードを実行することを可能にします。
パッチ適用への推奨
今回のパッチチューズデーは、積極的に悪用されている問題が含まれており、パッチ適用が単なる月例タスクではなく、リスクベースのプロセスとして優先順位付けの重要性を示しています。セキュリティ専門家は、企業がビジネスの稼働時間を確保しながら、これらの脆弱性への対応を迅速に行うことの重要性を指摘しています。
元記事: https://krebsonsecurity.com/2025/12/microsoft-patch-tuesday-december-2025-edition/