原題: Patch Tuesday, October 2025 ‘End of 10’ Edition
Windows 10最終アップデートで2件のゼロデイ脆弱性を修正
マイクロソフトは2025年10月の「Patch Tuesday」で、Windows 10向けの最後のセキュリティアップデートを公開し、合計172件の脆弱性を修正しました。その中には、実際に悪用が確認されている2件のゼロデイ脆弱性も含まれています。この記事では、今回のアップデートの重要ポイントと技術的背景、さらにWindows 10の今後の選択肢について解説します。
主要なポイント
- ゼロデイ脆弱性の修正:「Agere Modem」ドライバーの脆弱性(CVE-2025-24990)は、20年以上Windowsにバンドルされていた問題で、実際の攻撃を受けたため該当ドライバーを完全削除しました。
- リモートアクセス接続マネージャー(RasMan)の権限昇格脆弱性(CVE-2025-59230): VPNやダイヤルアップ接続を管理するサービスに存在し、今回初めてゼロデイとして悪用が確認されました。
- Microsoft Officeのリモートコード実行脆弱性: プレビューペインを悪用し、ユーザーがファイルを開かなくても攻撃可能なCVE-2025-59227とCVE-2025-59234が修正されました。
- Windows Server Update Service(WSUS)の重大脆弱性(CVE-2025-59287): 認証不要でリモートからコード実行が可能な高リスク脆弱性で、速やかなパッチ適用が推奨されています。
- Windows 10のサポート終了と今後の選択肢: Windows 10は本アップデートをもってサポート終了となり、有料のExtended Security Updates(ESU)プログラムやLinux系OSへの移行が選択肢として挙げられます。
技術的な詳細や背景情報
ゼロデイ脆弱性とは、公開前に攻撃者によって悪用されるセキュリティホールのことです。今回修正された「Agere Modem」ドライバーの脆弱性は、過去20年間Windowsに標準搭載されていたため、広範囲に影響を及ぼす可能性がありました。マイクロソフトは実際の攻撃を受けたことを受け、脆弱なドライバーを完全に削除するという強硬策を取りました。
また、RasManはVPNやダイヤルアップ接続の管理を担うサービスで、過去にも多くの修正が行われてきましたが、今回初めてゼロデイ攻撃が確認されました。これにより、攻撃者は権限を昇格させてシステムを乗っ取る恐れがあります。
Microsoft Officeの脆弱性は「プレビューペイン」を悪用するもので、ユーザーがメールの添付ファイルを開かずとも、メールのプレビュー画面で攻撃が成立する点が特徴です。これはソーシャルエンジニアリング攻撃と組み合わされることが多く、注意が必要です。
WSUSの脆弱性は、認証なしで攻撃者がネットワーク経由で悪意あるデータを送信し、Windowsの信頼されたサービス上でコードを実行できるという非常に危険なものです。特に一部のエンドポイント検出・対応(EDR)製品がWSUSを監視対象外にしている場合、攻撃を検知しにくい点も問題視されています。
影響や重要性
今回のアップデートは、Windows 10の最後のセキュリティパッチとして非常に重要です。ゼロデイ脆弱性の修正により、既に悪用されている攻撃からユーザーを保護しますが、今後Windows 10に対する公式のセキュリティサポートは終了します。
サポート終了後もWindows 10を使い続ける場合、ESUプログラムを利用して有料でセキュリティ更新を受けるか、あるいはLinuxなどの代替OSへの移行を検討する必要があります。特に企業や重要なシステムでは、サポート切れOSの使用はセキュリティリスクが高まるため、早急な対策が求められます。
まとめ
マイクロソフトはWindows 10向けの最終パッチで、合計172件の脆弱性を修正し、特に2件のゼロデイ脆弱性に対応しました。これにより、既知の深刻な攻撃からユーザーを守ることができますが、Windows 10のサポート終了に伴い、今後はESUプログラムの利用やLinuxへの移行など、セキュリティを維持するための選択肢を検討する必要があります。
ユーザーは今回のアップデートを速やかに適用し、特にWSUSを利用している環境では脆弱性の影響を最小限に抑えるための対策を講じてください。また、Microsoft Officeの脆弱性にも注意し、不審なメールのプレビューを避けるなどの基本的なセキュリティ対策を徹底しましょう。
