原題: Patch Tuesday, October 2025 ‘End of 10’ Edition
Windows 10サポート最終月に172件の脆弱性を一斉修正:重要なセキュリティアップデートの概要
マイクロソフトは、Windows 10のサポート最終月となる10月に、合計172件もの脆弱性を修正する大規模なセキュリティアップデートを公開しました。中には既に悪用されているゼロデイ脆弱性も含まれており、Windows 10ユーザーにとって重要な更新となっています。
主要なポイント
- ゼロデイ脆弱性の修正:20年以上バンドルされてきた「Agere Modem」ドライバーの脆弱性(CVE-2025-24990)を受け、マイクロソフトは該当ドライバーをWindowsから完全削除しました。
- リモートアクセス接続マネージャー(RasMan)の権限昇格脆弱性(CVE-2025-59230):VPNやダイヤルアップ接続を管理するサービスに存在し、今回初めて野生環境で悪用されました。
- Microsoft Officeのリモートコード実行脆弱性:プレビューペインを悪用し、ユーザーがファイルを開かなくても攻撃が成立するCVE-2025-59227およびCVE-2025-59234が報告されています。
- Windows Server Update Service(WSUS)の重大脆弱性(CVE-2025-59287):認証不要で悪用可能なリモートコード実行の脆弱性で、早急なパッチ適用が推奨されています。
- Windows 10のサポート終了後の選択肢:有料のExtended Security Updates(ESU)プログラムの利用や、Linuxへの移行が推奨されています。
技術的な詳細や背景情報
今回のアップデートでは、特に注目すべきはゼロデイ脆弱性の対応です。CVE-2025-24990は、長年Windowsに標準搭載されていたサードパーティ製モデムドライバー「Agere Modem」に存在し、実際の攻撃が確認されたため、マイクロソフトはドライバー自体を削除するという強硬策を取りました。
また、RasManの脆弱性はVPNやダイヤルアップ接続の管理に関わる重要なサービスに存在し、これまで頻繁に修正されてきたものの、実際にゼロデイ攻撃として悪用されたのは今回が初めてです。攻撃者が権限を昇格させることで、システムの制御を奪うリスクがあります。
Officeの脆弱性は「プレビューペイン」を悪用する点が特徴で、ユーザーがファイルを開かずともメールのプレビューで攻撃が成立するため、非常に危険です。攻撃者は悪意のあるOffice文書をメールに添付し、ソーシャルエンジニアリングでユーザーにプレビューさせる手法を取ります。
WSUSの脆弱性は、認証不要でリモートからコード実行が可能な点が深刻です。WSUSはWindows Serverのパッチ配信を担う信頼されたサービスであり、攻撃者がこの脆弱性を悪用すると、OSの完全制御やEDR(Endpoint Detection and Response)検知回避も可能になる恐れがあります。
影響や重要性
Windows 10のサポート終了に伴い、今回のパッチは最後の大規模なセキュリティアップデートとなります。サポート終了後は新たな脆弱性に対する修正が提供されなくなるため、Windows 10ユーザーはセキュリティリスクが高まります。
特にゼロデイ脆弱性の悪用が確認されているため、未適用のまま使用を続けることは重大なリスクを伴います。さらに、WSUSの脆弱性は企業のサーバー環境に深刻な影響を及ぼす可能性があり、早急な対応が求められます。
Windows 10からWindows 11への移行が難しい場合は、マイクロソフトのExtended Security Updates(ESU)プログラムを利用するか、Linuxなどの代替OSへの移行を検討することが推奨されます。Linux Mintなどは初心者にも扱いやすく、Microsoft Officeに代わるLibreOfficeも利用可能です。
まとめ
10月のPatch Tuesdayでは、Windows 10のサポート最終月にふさわしく、過去最大級の172件の脆弱性修正が行われました。特にゼロデイ脆弱性の修正は緊急性が高く、Windows 10ユーザーは速やかにアップデートを適用する必要があります。
サポート終了後のセキュリティリスクを軽減するためには、ESUプログラムの利用やLinuxへの移行など、代替策を検討することが重要です。今後も安全なPC環境を維持するために、最新の情報を注視し、適切な対策を講じていきましょう。
