原題: Microsoft Patch Tuesday, November 2025 Edition
マイクロソフト、2025年11月のセキュリティパッチでWindowsおよびOfficeの重大脆弱性を修正
マイクロソフトは2025年11月に、WindowsやOfficeを含む複数の製品に存在する60件以上の脆弱性を修正するセキュリティアップデートを公開しました。中には既に悪用が確認されているゼロデイ脆弱性も含まれており、Windows 10の追加セキュリティ更新に関する不具合も解消されています。
主要なポイント
- 60件以上の脆弱性を修正:Windows OS、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot、Azure Monitor Agentなど幅広い製品が対象。
- ゼロデイ脆弱性「CVE-2025-62215」:Windows内部のメモリ破損問題で、攻撃者が既にアクセス権を持つ場合に悪用される。評価は「重要(Important)」。
- GDI+の深刻な脆弱性「CVE-2025-60274」:Windowsのグラフィックコンポーネントに存在し、多数のアプリケーションに影響。CVSSスコアは9.8と高く、優先的なパッチ適用が推奨される。
- Officeのリモートコード実行脆弱性「CVE-2025-62199」:低い複雑性で特権不要、プレビューウィンドウで悪用可能なため、非常に危険。
- Windows 10の追加1年無料アップデート問題を修正:一部ユーザーが更新を受けられなかった不具合を解消する緊急パッチが公開された。
技術的な詳細や背景情報
今回修正されたゼロデイ脆弱性「CVE-2025-62215」は、Windowsのメモリ破損に起因する問題で、攻撃者が既にシステムへのアクセス権を持つ場合に悪用されます。これにより、攻撃チェーンの一部として利用されることが多いとSANSテクノロジーインスティテュートのヨハネス・ウルリッヒ氏は指摘しています。
また、GDI+(Graphics Device Interface Plus)はWindowsの主要なグラフィック処理ライブラリであり、Microsoft Officeや多くのサードパーティ製アプリケーションで画像処理に利用されています。ここに存在する「CVE-2025-60274」はCVSSスコア9.8と非常に高く、悪用されれば広範囲に影響を及ぼす可能性があります。
Officeの「CVE-2025-62199」は、リモートコード実行を引き起こす脆弱性で、ユーザーが特別な操作を行わずとも、プレビューウィンドウで罠が仕掛けられたメッセージを閲覧するだけで攻撃が成立するため、非常に危険です。
さらに、Windows 10のサポート終了に伴い、マイクロソフトはMicrosoftアカウントでPC登録を行うことで追加1年間の無料アップデートを提供していますが、一部ユーザーが更新を受けられない問題が発生。これを解決するための緊急パッチ(KB5071959)がリリースされました。
影響や重要性
今回のアップデートは、企業や個人ユーザーにとって極めて重要です。特にゼロデイ脆弱性や高CVSSスコアの脆弱性は、悪用されるとシステムの完全な制御を奪われるリスクがあるため、速やかなパッチ適用が求められます。
Windows 10のサポート終了後も追加更新を受けられる仕組みはユーザーにとって救いですが、更新適用の不具合が発生した場合は、今回の緊急パッチを適用する必要があります。これにより、セキュリティリスクを低減し、システムの安定稼働を維持できます。
また、AdobeやMozilla、Google Chrome、Microsoft Edgeなどサードパーティ製品のアップデートも同時期に公開されており、総合的なセキュリティ対策としてこれらの適用も重要です。
まとめ
2025年11月のマイクロソフトのセキュリティパッチは、WindowsやOfficeをはじめとする多くの製品に影響する重大な脆弱性を修正しています。特にゼロデイ脆弱性や高リスクの脆弱性は、攻撃者に悪用される前に速やかに対応することが不可欠です。
Windows 10ユーザーは追加1年の無料アップデートを受けるための登録と、緊急パッチの適用を忘れずに行いましょう。さらに、AdobeやMozillaなどのサードパーティ製品のアップデートも併せて実施し、総合的なセキュリティ強化を図ることが推奨されます。
最後に、定期的なバックアップを実施し、万が一のトラブルに備えることも重要です。パッチ適用後に問題が生じた場合は、コミュニティや専門サイトで情報共有を行い、迅速な対応を心がけましょう。
