エクスプロイト&脆弱性
2025年5月 セキュリティアップデート解説:Microsoft社は82件、Adobe社は40件の脆弱性に対応
この5月13日はトレンドマイクロのZero Day Initiative™(ZDI)が主催するハッキングコンテスト「Pwn2Own Berlin」直前の「パッチチューズデー」となりました。コンテストに参加する多くの挑戦者たちは、コンテストに参加する多くの挑戦者たちは緊張の中で過ごしていると思いますが、少し手を止めて、最新のセキュリティアラートの詳細を一緒に振り返ってみましょう。リリース全体をまとめた動画(英語)もご覧いただけます。
この5月13日はトレンドマイクロのZero Day Initiative™(ZDI)が主催するハッキングコンテスト「Pwn2Own Berlin」直前の「パッチチューズデー」となりました。コンテストに参加する多くの挑戦者たちは、コンテストに参加する多くの挑戦者たちは緊張の中で過ごしていると思いますが、少し手を止めて、最新のセキュリティアラートの詳細を一緒に振り返ってみましょう。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年5月Adobe社からのセキュリティアップデート
今月、Adobeは13件のセキュリティ情報を公開し、合計40件の脆弱性に対応しました。対象製品には、Adobe ColdFusion、Lightroom、Dreamweaver、Connect、InDesign、Substance 3D Painter、Photoshop、Animate、Illustrator、Bridge、Dimension、Substance 3D Stager、Substance 3D Modeler が含まれます。これらのうち1件の脆弱性は、Trend MicroのZDIプログラムを通じて報告されたものです。
優先的に対応すべきなのはColdFusionで、「緊急」に分類された7件と「重要」に分類された1件の脆弱性に対応しており、Adobeの優先度評価でも最高の「優先順位1」となっています。なお、現時点では実際の攻撃は確認されていませんが、ColdFusionには先月もパッチが適用されており、今回の脆弱性はそのパッチを回避する手法に関するものの可能性があります。
その他のアップデートはすべて「優先順位3」に分類されています。Photoshopでは「緊急」と評価された3件の脆弱性が修正されており、いずれも細工されたファイルを開くだけで悪用される可能性があります。Animateの修正では、リモートコード実行につながるものを含む5件の脆弱性に対応しています。Substance 3D Stagerには6件の脆弱性が含まれますが、Substance 3D Modelerでは2件、Substance 3D Painterでは1件となっています。これらは異なる製品ではありますが、同じ3D関連ツール群としてまとめて扱うのが妥当でしょう。
InDesignのパッチは3件の脆弱性に対応していますが、そのうち1件だけが「緊急」と評価されています。Bridgeの修正では3件の脆弱性が含まれ、いずれもコード実行につながる可能性があります。Adobe Connectについては、クロスサイトスクリプティングに関する4件の脆弱性が修正されています。今月のAdobeのリリースの締めくくりとして、それぞれ1件ずつ「緊急」と評価されたコード実行の脆弱性が、Lightroom、Dreamweaver、Illustratorで修正されています。
なお、今回Adobeが修正した脆弱性のいずれについても、リリース時点で公に知られていたり、実際の攻撃に使われていたりするものは確認されていません。
2025年5月Microsoft社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびそのコンポーネント、Officeおよび関連コンポーネント、.NETとVisual Studio、Azure、Nuance PowerScribe、リモートデスクトップゲートウェイサービス、Microsoft Defenderに関する新たな脆弱性を75件公開しました。このうち3件はトレンドマイクロのZDIプログラムを通じて報告されたものです。さらに、サードパーティ製品に関する脆弱性も加えると、今月の合計は82件に達します。
今回リリースされたパッチのうち、12件が「緊急」と評価され、それ以外は「重要」とされています。この件数は5月としては特に不自然ではありませんが、脆弱性の累計で見ると、Microsoft社は昨年の同時期を上回るペースで修正を進めています。また、今月はOffice関連の脆弱性が数多く修正されている点も注目されます。これは今年後半に予想される攻撃の前兆なのかもしれません。
Microsoft社は、今回修正された脆弱性のうち5件がすでに実際の攻撃で悪用されているとし、さらに2件が公に知られていたとしています。ここからは、今月のアップデートの中でも特に注目すべきものを見ていきます。まずは、現在攻撃で悪用されている脆弱性の1つから紹介していきましょう。
CVE-2025-30397 - スクリプトエンジンのメモリ破損の脆弱性
この脆弱性は、攻撃者が細工されたリンクをユーザにクリックさせることで、遠隔からコードを実行できるというものです。すでに実際の攻撃でも悪用されていることから、誰かがそのリンクをクリックしてしまったということなのでしょう。このバグの興味深い点は、Microsoft EdgeをInternet Explorerモードで強制的に動作させることです。つまり、IEの「亡霊」は今もなお私たちに付きまとっているということになります。Microsoft社はこの脆弱性がどの程度広がっているのかについて明らかにしていませんが、早急な検証とパッチの適用を推奨します。
CVE-2025-32701 / CVE-2025-32706 - Windows共通ログファイルシステムドライバーの特権昇格の脆弱性
このWindowsコンポーネントは以前から脆弱性の標的となっており、過去数か月にも別のグループによって悪用されてきました。これらの脆弱性により、攻撃者はSYSTEM権限への特権昇格が可能となります。通常、この種のバグはコード実行の脆弱性と組み合わせて使われ、システムの乗っ取りにつながります。過去にはランサムウェア集団がこの手法を用いた例もあり、今回も同様の目的で使われる可能性が高いと考えられます。早急な検証とパッチの適用が求められます。
CVE-2025-32709 - Windows WinSock補助機能ドライバーの特権昇格の脆弱性
このコンポーネントも「再放送」のようなもので、今年2月にも実際の攻撃で悪用されていました。何度も同じコンポーネントが攻撃されるのを見ると、これまでのパッチの質や、それらが回避されている可能性について疑念が湧いてきます。今回もSYSTEM権限まで昇格できる特権昇格の脆弱性です。
CVE-2025-30400 - Microsoft DWM Core Libraryの特権昇格の脆弱性
今月、実際に悪用されている脆弱性として修正された最後のケースです。この脆弱性は1月に修正されていましたが、DWM(Desktop Window Manager)コンポーネントにおける初の実際の攻撃例が確認されたのは今回が初めてです。こちらもSYSTEM権限でコードを実行できる権限昇格の脆弱性です。こうした特権昇格の脆弱性は、フィッシングやランサムウェアの攻撃で頻繁に利用されているため、重大度がやや低く見えるとしても決して軽視すべきではありません。確実にテストとパッチ適用を行ってください。
その他の脆弱性
リモートコード実行関連:
続いて、「緊急」評価されたパッチに目を向けると、特に注目すべきはOfficeに関するリモートコード実行の脆弱性です。この手の脆弱性は通常「ファイルを開いたら実行される」タイプですが、今回は「プレビューウィンドウ」が攻撃経路として挙げられている点が異なります。先月とは異なり、ユーザ操作が不要であり、細工されたファイルを受信してプレビュー表示されるだけでコードが実行されてしまう可能性があります。
Azureにも非常に深刻に見える脆弱性が含まれており、CVSSスコア10というものまでありますが、これらはすでにMicrosoft社によって緩和措置が取られており、追加の対応は不要とされています。DataverseやPower Appsに関する脆弱性も同様です。また、Nuance PowerScribeという放射線診断用のレポート作成アプリにも「緊急」に評価された情報漏洩関連の脆弱性があり、攻撃者が個人情報(PII)を取得できる可能性があります。リモートデスクトップクライアントにはいくつかの脆弱性がありますが、いずれも悪意のあるRDPサーバに接続しなければ成立しないため、やや限定的です。Virtual Machine Bus(VMBus)の脆弱性は、悪用されるには認証が必要です。
次に、その他のリモートコード実行の脆弱性を見てみると、Office関連の脆弱性が多数含まれており、Excelだけでも9件あります。幸い、これらはすべて「ファイルを開いたら実行される」タイプで、プレビューウィンドウは攻撃経路ではありません。それ以外では、Visual Studioにおけるコマンドインジェクションの脆弱性があり、これは公に知られているものの、現時点では実際の攻撃は確認されていません。リモートデスクトップサービスにも一見すると深刻そうな脆弱性があります。未認証のユーザが細工されたパケットを送ることでコードを実行できる可能性がありますが、実際の悪用には管理者によるサービスの停止または再起動が必要です。
今月修正された最後のリモートコード実行の脆弱性は、すべてSharePointに関するもので、シリアライズ解除処理(デシリアライゼーション)に関わる3件の脆弱性が修正対象です。SharePointはPwn2Ownでも人気の高いターゲットであるため、今回の修正でどの程度エントリーに影響が出るか注目されます。
特権昇格関連:
すでに紹介した2件の「緊急」に評価された特権昇格の脆弱性に加え、今回のリリースではさらに16件の特権昇格の脆弱性が含まれています。これらの多くは、認証されたユーザが細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限の取得につながるものです。ただし、いくつか例外的に注目すべきものもあります。Document Intelligence Studio On-Premに存在する脆弱性はCVSSスコアが9.8と非常に高く、攻撃者がマウントされたパスの親フォルダの内容をダウンロードできるという深刻な問題です。
Universal Print ManagementやWindows CLFSにおける脆弱性はファイルの削除を可能にしますが、これも過去の事例からわかるように、特権昇格へと悪用される可能性があります。最後に、Azure File Syncの脆弱性に関しては、完全な解決には追加の対応が必要となる場合があります。追加対応が必要なユーザには、Azure Service Health Alerts を通じてTrackingID: 4K2C-9_Zで通知されているはずです。通知を受け取っていない場合は、影響を受けておらず、特別な対応は不要です。
セキュリティ機能バイパス関連:
今月のリリースには、セキュリティ機能のバイパスに関するパッチも2件含まれています。1つ目はURLMonのバグで、Officeの保護ビューをバイパスできてしまう可能性があります。これにより、ファイルが保護ビューではなく編集モードで開かれてしまい、フィッシング攻撃によるランサムウェアの拡散などを狙う攻撃者にとっては非常に都合の良い状況が生まれます。もう1つのセキュリティ機能のバイパス関連はVisual Studioに関するもので、Trusted Domain Serviceのバイパスが可能になる脆弱性です。
情報漏洩関連:
5月のリリースに含まれる情報漏洩の脆弱性について見ると、数件が報告されています。ただし、いずれも内容としては未特定のメモリの一部が漏洩するというもので、それ自体で大きな話題となるようなものではありません。とはいえ、システム上の特定コンポーネントを悪用する際には有用な情報となり得ます。
なりすまし関連:
今月のリリースには、なりすましに関する脆弱性の修正も2件含まれています。1件目はDefender for Identityに関連するもので、隣接する攻撃者によってアクセスされる可能性があります。Microsoft社はどのような種類のなりすましかを明らかにしていませんが、コンポーネントの名称から考えると、攻撃者が他者のIDになりすますことができる可能性があると考えられます。また、この脆弱性はパッチのリリース前にすでに公に知られていたとMicrosoft社は述べています。もう1件のなりすましの脆弱性は.NETとVisual Studioに関するもので、攻撃には認証が必要です。ただし、標準ユーザが細工されたファイルをシステムに配置し、特権を持つユーザがそのコマンドを実行するのを待つことで悪用される可能性があります。
サービス拒否(DoS攻撃)関連:
今月パッチが提供されたDoS(サービス拒否)に関する脆弱性は7件あります。ただし、Microsoft社はこれらの脆弱性に関する具体的な技術情報や対処法については何も明らかにしていません。単に、攻撃者がネットワークまたはローカル経由で該当コンポーネントに対してサービス拒否を引き起こす可能性がある、という説明にとどまっています。
今月は新しいアドバイザリの発行はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年6月10日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年5月発表の全リスト
2025年5月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The May 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)