はじめに

Microsoftは2025年12月の月例セキュリティ更新プログラムをリリースしました。今回のアップデートでは、合計56件の脆弱性が修正され、特に注目すべきは3件のゼロデイ脆弱性への対応です。そのうちの1件は、既に悪用が確認されています。修正された脆弱性の内訳は、2件が「Critical（緊急）」、54件が「Important（重要）」に分類されています。

緊急性の高いゼロデイ脆弱性

今回の更新で最も緊急性の高い修正は、以下の3つのゼロデイ脆弱性です。

• CVE-2025-62221: Windows Cloud Files Mini Filter Driverの特権昇格の脆弱性
  この脆弱性は、既に積極的に悪用されていることが確認されており、攻撃者が侵害されたシステム上で高い権限を獲得する可能性があります。
• CVE-2025-54100: PowerShellのリモートコード実行（RCE）の脆弱性
  この脆弱性は公開されていましたが、悪用は確認されていませんでした。
• CVE-2025-64671: GitHub Copilot for JetBrainsのリモートコード実行（RCE）の脆弱性
  この脆弱性も公開されていましたが、悪用は確認されていませんでした。コマンドインジェクションを介してコードが実行される可能性があります。

CriticalおよびImportantな脆弱性

今月のセキュリティアップデートでは、以下のCriticalなRCE脆弱性が修正されています。

• CVE-2025-62554: Microsoft Officeのリモートコード実行の脆弱性
  タイプコンフュージョン（型混乱）の脆弱性であり、攻撃者がローカルでコードを実行する可能性があります。
• CVE-2025-62557: Microsoft Officeのリモートコード実行の脆弱性
  Use-after-freeの脆弱性であり、攻撃者がローカルでコードを実行する可能性があります。

これら以外にも、Windows Cloud Files Mini Filter Driver（CVE-2025-62454, CVE-2025-62457）、Win32k（CVE-2025-62458）、Windows Common Log File System Driver（CVE-2025-62470）などのコンポーネントにおける25件の特権昇格の脆弱性が修正されています。さらに、Microsoft Excel、Word、Windows Routing and Remote Access Service（RRAS）などにおける16件のRCE脆弱性も対応されました。

その他の修正には、Microsoft Exchange Server、Windows DirectXなどの製品におけるスプーフィング、情報開示、サービス拒否の脆弱性が含まれています。

脆弱性の種類と件数

• リモートコード実行 (RCE): 19件
• サービス拒否 (DoS): 3件
• 特権昇格 (EoP): 28件
• 情報開示: 4件
• スプーフィング: 2件
• 合計: 56件

推奨事項

特に1件のゼロデイ脆弱性が積極的に悪用されていることを考慮すると、ユーザーおよびシステム管理者にはこれらのセキュリティ更新プログラムを速やかに適用することが強く推奨されます。

---

元記事: https://gbhackers.com/microsoft-december-2025-patch-tuesday/