原題: Patch Tuesday, October 2025 ‘End of 10’ Edition
Windows 10最後の月例セキュリティパッチで172件の脆弱性を修正
マイクロソフトは、Windows 10向けに提供する最後の月例セキュリティアップデートで、合計172件の脆弱性を修正しました。その中には、実際に悪用されているゼロデイ脆弱性も含まれており、Windows 10ユーザーは今後の対応を検討する必要があります。
主要なポイント
- ゼロデイ脆弱性の修正:Windowsに長年バンドルされてきたサードパーティ製モデムドライバー「Agere Modem」に関する脆弱性(CVE-2025-24990)と、リモートアクセス接続マネージャー(RasMan)の権限昇格脆弱性(CVE-2025-59230)が実際に悪用されていたため、緊急対応が行われました。
- Microsoft Officeのリモートコード実行脆弱性:プレビューペイン機能を悪用し、ユーザーがファイルを開かなくても攻撃が成立する脆弱性(CVE-2025-59227、CVE-2025-59234)が修正されました。
- Windows Server Update Service(WSUS)の重大脆弱性:認証不要で悪用可能なリモートコード実行脆弱性(CVE-2025-59287)が発見され、早急なパッチ適用が推奨されています。
- Windows 10のサポート終了:Windows 10のサポートは今回のアップデートで終了し、Exchange Server 2016/2019やSkype for Business 2016なども同時にサポート終了となりました。
- 今後の選択肢:Windows 11への移行が難しい場合、有料のExtended Security Updates(ESU)プログラムの利用や、Linux系OSへの移行が推奨されています。
技術的な詳細や背景情報
今回修正されたゼロデイ脆弱性の一つ、CVE-2025-24990は、20年以上Windowsに同梱されてきた「Agere Modem」ドライバーに存在しました。マイクロソフトは実際の攻撃を受けたことを受け、このドライバーをWindowsから完全に削除しました。
もう一つのゼロデイ脆弱性、CVE-2025-59230はRasManサービスに関わるもので、VPNやダイヤルアップ接続の管理を担う重要なサービスです。過去数年にわたり頻繁に修正されてきましたが、今回初めて実際の攻撃が確認されました。
WSUSの脆弱性(CVE-2025-59287)は、認証なしで攻撃者がネットワーク経由で悪意のあるデータを送信し、Windowsの信頼されたサービス上で任意のコードを実行可能にするものです。特にEDR(エンドポイント検出・対応)製品でWSUSサービスが除外設定されている場合、検知を回避されるリスクがあります。
Microsoft Officeの脆弱性は、メールのプレビューペインを悪用する手法で、ユーザーが添付ファイルを開かなくても攻撃が成立するため、非常に危険です。
影響や重要性
Windows 10のサポート終了に伴い、今後はセキュリティアップデートが提供されなくなります。これにより、既知・未知の脆弱性が放置されるリスクが高まります。特に企業環境では、WSUSの脆弱性などを悪用した攻撃が重大な被害をもたらす可能性があります。
また、Officeのプレビューペイン脆弱性は、メールを介した標的型攻撃の手口として広く利用される恐れがあり、ユーザーの注意喚起と適切な対策が求められます。
Windows 11への移行が難しいユーザーにとっては、ESUプログラムの利用やLinuxへの移行が現実的な選択肢となります。特にLinux MintはWindowsユーザーにとって使いやすく、無料で利用できるため注目されています。
まとめ
マイクロソフトはWindows 10の最後の月例セキュリティパッチで、172件もの脆弱性を修正し、特に実際に悪用されているゼロデイ脆弱性への対応を急ぎました。Windows 10のサポート終了により、今後はセキュリティリスクが増大するため、ユーザーはWindows 11への移行やESUプログラムの利用、あるいはLinuxへの移行を検討する必要があります。
今回のアップデート適用後に問題が発生した場合は、コメント欄での報告をお待ちしています。安全なPC環境を維持するため、最新の情報と対策を常に確認しましょう。
