原題: Patch Tuesday, October 2025 ‘End of 10’ Edition
Windows 10最終アップデートで172件の脆弱性を修正:移行と対策の選択肢
マイクロソフトは2025年10月の「Patch Tuesday」において、Windows 10の最終アップデートとして合計172件の脆弱性を修正しました。この中には既に悪用が確認されているゼロデイ脆弱性も含まれており、Windows 10のサポート終了に伴い、ユーザーには移行や対策の検討が求められています。
主要なポイント
- ゼロデイ脆弱性の修正とドライバーの削除
CVE-2025-24990というゼロデイ脆弱性は、20年以上Windowsに同梱されてきたサードパーティ製モデムドライバー「Agere Modem」に存在し、マイクロソフトはこの脆弱なドライバーを完全に削除しました。 - Windows Remote Access Connection Manager(RasMan)の脆弱性
CVE-2025-59230はリモートアクセス接続管理サービスの権限昇格脆弱性で、VPNやダイヤルアップ接続の管理に関わる重要なサービスです。過去20回以上パッチが提供されてきましたが、今回初めて実際の攻撃で悪用が確認されました。 - Microsoft Officeのプレビュー機能を狙うリモートコード実行脆弱性
CVE-2025-59227およびCVE-2025-59234は、メールのプレビューパネルで悪意あるOffice文書を表示するだけで攻撃が成立する脆弱性で、ユーザーがファイルを開かなくても感染する恐れがあります。 - Windows Server Update Service(WSUS)の重大脆弱性
CVE-2025-59287は認証不要でリモートからコード実行が可能な脆弱性で、Windowsの重要な更新管理サービスに影響します。現時点で悪用は確認されていませんが、非常に高い脅威度を持っています。 - Windows 10のサポート終了と移行オプション
Windows 10のセキュリティアップデートは今回が最後で、移行できない場合は有償のExtended Security Updates(ESU)プログラムの利用や、Linuxへの移行も選択肢として提案されています。
技術的な詳細や背景情報
今回のアップデートでは、特にゼロデイ脆弱性の対応が注目されます。ゼロデイとは、脆弱性が公表される前に既に悪用されている状態を指し、迅速な対応が求められます。Agere Modemドライバーの削除は、長年放置されてきた古いコードのリスクを示しています。
RasManの脆弱性は、VPNやリモートアクセスの基盤を揺るがすものであり、攻撃者が権限を不正に昇格させることでシステム全体を制御される恐れがあります。また、Officeのプレビューパネルを悪用する脆弱性は、ユーザーの操作を最小限に抑えた攻撃手法として危険です。
WSUSの脆弱性は、Windowsの更新管理を担うサービスに対するもので、攻撃者がネットワーク経由でコードを実行できるため、システムの完全な制御を奪われる可能性があります。マイクロソフトは詳細情報を限定的に公開していますが、早急なパッチ適用が推奨されます。
影響や重要性
Windows 10のサポート終了は、多くの企業や個人ユーザーにとって大きな転換点です。アップデートが停止すると、新たな脆弱性に対する防御ができなくなり、サイバー攻撃のリスクが急増します。特にゼロデイ脆弱性の存在は、攻撃者にとって格好の標的となるため、移行や対策は急務です。
ESUプログラムは延長サポートとして有効ですが、費用やサポート内容に制限があるため、長期的にはWindows 11への移行やLinuxなどの代替OSの検討が望まれます。Linux Mintのような初心者向けディストリビューションは、無料で利用でき、Microsoft Officeに代わるLibreOfficeも搭載されているため、移行のハードルを下げる選択肢となります。
まとめ
マイクロソフトのWindows 10最終アップデートでは、172件もの脆弱性が修正され、特に既に悪用が確認されているゼロデイ脆弱性への対応が行われました。Windows 10のサポート終了に伴い、ユーザーはWindows 11への移行、ESUプログラムの利用、またはLinuxへの切り替えなど、セキュリティを維持するための選択を迫られています。
今後も安全にPCを利用するためには、最新のアップデート適用とともに、自身の環境に適したOSの選択を検討することが重要です。特に企業ユーザーは、WSUSの脆弱性など重大なリスクを踏まえ、早急な対策を講じる必要があります。
