エクスプロイト&脆弱性
2025年6月 セキュリティアップデート解説:Microsoft社は70件、Adobe社は254件の脆弱性に対応
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年6月Adobe社からのセキュリティアップデート
2024年6月、Adobe社はAcrobat Reader、InCopy、Experience Manager、Commerce、InDesign、Substance 3D Sampler、Substance 3D Painterに関する7件のセキュリティ情報をリリースし、合計254件の脆弱性に対応しました。これらのうち4件はTrend ZDIプログラム経由で報告されたものです。今回のパッチの中でも、特にCommerceに関する修正は、5件の脆弱性に対して既知の攻撃はないとしながらも、Adobe社は「Priority 1」に位置付けています。最大のアップデートはExperience Managerに関するもので、これだけで225件もの脆弱性に対応しており、ほとんどはクロスサイトスクリプティング(XSS)関連の脆弱性です。ただし、XSSの脆弱性は任意コード実行につながる可能性があります。
その他のアップデートでは、Acrobat向けの修正で10件の脆弱性に対応しており、いずれも開くだけで攻撃される恐れのあるコード実行関連のものです。InCopy向けの修正では、「緊急」に分類されたコード実行の脆弱性2件に対応しました。InDesign向けには、9件中5件が「緊急」に分類されたコード実行脆弱性で、残りはメモリリークです。Substance 3D Sampler向けの修正でも、コード実行の脆弱性2件に対応しました。最後に、Adobe社6月のリリースは、Substance 3D PainterにおけるOut-of-Bounds(OOB)Write関連脆弱性の修正で締めくくられています。
今月Adobe社が修正したこれらの脆弱性は、いずれもリリース時点で公に知られていたり、実際に攻撃されているものはありませんでした。
2025年6月Microsoft社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、.NETおよびVisual Studio、Nuance Digital Engagement Platform、Windows暗号化サービスにおいて、合計66件の新たな脆弱性をリリースしました。このうち3件はTrend ZDIプログラム経由で報告されたものです。さらに、他社製品に関連する脆弱性も追加され、合計で70件となっています。
今回リリースされたパッチのうち、10件が「緊急」に分類された脆弱性で、残りは「重要」となっています。修正件数としては、6月としては比較的標準的な規模ですが、昨年同時期と比べると、Microsoft社は脆弱性の累計数でややリードしている状況です。また、Office関連の脆弱性修正も引き続き多く含まれています。これらの脆弱性が将来的にエクスプロイトキットに組み込まれるかどうかは、今後の動向次第です。
Microsoft社は、今回のリリースで1件の脆弱性がすでに攻撃を受けていると報告しており、もう1件はすでに公表されています。今月のアップデートの中でも特に注目すべき修正について、現在実際に悪用されている脆弱性から順に詳しく見ていきましょう。
CVE-2025-33053 – Web Distributed Authoring and Versioning(WEBDAV)のリモートコード実行の脆弱性
Internet Explorer(IE)の亡霊は依然として私たちを悩ませています。この脆弱性は、レガシーアプリケーション内でWindowsが廃止されたIEを使用するよう強制します。Microsoft社はこの攻撃の広がりについて具体的な説明はしていませんが、サポート終了済みのWindows 8やWindows Server 2012向けにもパッチを提供するという異例の対応をとっています。このエクスプロイトは、ユーザが悪意あるURLをクリックするだけでコードが実行される可能性があります。Microsoft社がサポート終了OS向けにも更新を出していることから、この修正は早めに適用するのがよいでしょう。
CVE-2025-33070 – Windows Netlogonの特権昇格の脆弱性
「緊急」に分類されたこの脆弱性は、攻撃者が特殊に細工した認証リクエストを影響を受けたドメインコントローラーに送信することで、コードを実行できるようにするものです。具体的な説明はありませんが、Netlogonサービスの権限でコードが動作すると推測されます。Netlogonは高い特権レベルで動作しているため、この脆弱性の影響は大きいでしょう。Microsoft社はこの脆弱性を「Exploitation more likely(悪用される可能性が高い)」としています。この重大さから見ても、今後数ヶ月のうちに攻撃が出てくることは十分予想されます。
CVE-2025-33073 – Windows SMB Clientの特権昇格の脆弱性
この脆弱性はすでに公表されており、複数の研究者が報告したとされています。攻撃者が制御する悪意あるアプリケーションサーバへユーザを接続させることで、SYSTEM権限でコードが実行される可能性があります。ここで最も考えられるのは、SMBサーバです。接続した瞬間に、攻撃者のサーバが被害者のシステムを乗っ取り、権限を昇格させる恐れがあります。
CVE-2025-47162 – Microsoft Officeのリモートコード実行の脆弱性
これは、プレビューウィンドウを攻撃経路として利用するOffice関連の4件の脆弱性のうちの1つです。ほとんどが最も高いエクスプロイトインデックス評価を受けており、Microsoft社は30日以内の公的な悪用を予測しています。これらの脆弱性はユーザの操作なしで実行されるため、特権昇格の脆弱性と組み合わせることでシステムを乗っ取られる危険性があります。また、プレビューウィンドウを通じて攻撃されるため、ユーザが怪しいメールをクリックしなくても攻撃される可能性があります。Officeのアップデートは今月中に早急に適用することをおすすめします。
その他の脆弱性
「緊急」に分類された修正脆弱性
6月のその他の「緊急」に分類された脆弱性への対応について見ていきましょう。プレビューウィンドウを攻撃経路とする他のOffice関連の脆弱性があります。Power Automateにも恐ろしそうな脆弱性がありましたが、Microsoft社はすでに修正済みで、ユーザ側での対応は不要です。
リモートコード実行関連
SharePointのリモートコード実行では、低い権限でSQLインジェクションが可能となっています。Kerberos KDC Proxy Serviceの脆弱性では、暗号プロトコルの脆弱性を悪用した悪意あるアプリを使うことで、影響を受けるシステム上でコードを実行される可能性があります。幸い、この影響はKerberos KDC Proxy Protocolサーバとして登録されているシステムに限られ、ドメインコントローラーには影響しません。
また、Schannelにも暗号関連の脆弱性があり、Transport Layer Security(TLS)接続を受け付けるターゲットサーバに対して、悪意ある分割されたClientHelloメッセージを送信することでコード実行が可能になります。このエクスプロイトを発動させるには大量のメッセージが必要なので、その種の挙動を監視していれば比較的簡単に検知できるはずです。6月の最後の「緊急」に分類された脆弱性は、Windows Remote Desktop Servicesに関するものです。この脆弱性は5月にサイレントパッチ(非公表の修正)として適用されており、今回ようやく文書化されました。サイレントパッチの問題点についてはここで詳細は語り尽くせませんが、注意しておく必要があります。
その他のコード実行脆弱性を見ていくと、Officeコンポーネントにはユーザの操作が必要な「開いたら即乗っ取られる」手口の脆弱性が多数存在します。これらは、プレビューウィンドウが攻撃経路ではありません。また、毎月恒例となっているRRASサービスの脆弱性もあります。SharePointには、やや紛らわしい2件のデシリアライゼーション脆弱性があります。これらは「重要」に分類されていますが、「緊急」のSharePoint脆弱性と同じCVSSスコアとなっています。恐らくSQLインジェクションはデシリアライゼーションよりも深刻なのでしょう。最後に、.NETとVisual StudioにはペアのDLLロード関連の脆弱性が確認されています。
特権昇格関連
今月のリリースには、特権昇格の脆弱性はほんの一握りしかなく、重要なものはすでに取り上げました。それ以外の脆弱性は、認証済みのユーザが特殊に細工したコードを実行すると、SYSTEM権限でのコード実行や管理者権限取得が可能になるものです。唯一追加で触れておくべき脆弱性は、Windows SDKに関連するものです。SDKのインストールや管理について不慣れな場合は、Microsoft社がこちらのドキュメントを提供していますので参考にしてください。
セキュリティ機能バイパス関連
今月のリリースには、セキュリティ機能バイパスに関するパッチが2件含まれています。1件目はApp Controlに関するもので、App Controlポリシーをバイパスできる脆弱性を修正しています。もう1件はショートカットファイルのセキュリティをバイパスするものです。こちらはリリース時点で攻撃を受けているとは記載されていませんが、最近ではランサムウェアによる攻撃でこのタイプの脆弱性が利用される事例が見られています。
情報漏洩関連
6月のリリースでは、特権昇格脆弱性よりも情報漏洩関連の脆弱性の修正の方が多く含まれています。幸いなことに、ほとんどはWindows Storage Management Providerに関するもので、内容としては不特定のメモリ内容が漏れる程度にとどまっています。これはシステム上のコンポーネントを攻撃する際に役立つ情報ではありますが、特に注目すべきものではありません。唯一注目すべき例外は、Windows Virtualization-Based Security(VBS)に影響するものです。この脆弱性は、影響を受けたアプリケーションのユーザに属する機密情報や特権情報が漏えいする可能性があります。VBSは、カーネルが侵害される可能性を前提としてOSの信頼の基盤となる隔離された仮想環境を作るための新しい機能ですので、これが早くも標的になっているのは興味深いところです。
サービス拒否(DoS攻撃)関連
今回のリリースには、サービス拒否(DoS)脆弱性に関するパッチが6件含まれています。ただし、Microsoft社はこれらの脆弱性に関する具体的な対応方法を提示しておらず、ネットワーク経由で対象のコンポーネントにサービス拒否を引き起こす可能性があるという説明にとどまっています。影響を受けるコンポーネントには、DHCPサーバーやLocal Security Authority(LSA)などが含まれており、一時的なDoSなのか、恒久的なものなのか、再起動が必要なのか、攻撃が止まればシステムが復旧するのか、詳細がわからない状況です。真相は闇の中です。
なりすまし関連
最後に、Nuance Digital Engagement Platformに関する1件のなりすまし関連の脆弱性があります。同プラットフォームは、ベンダーによるとAIを活用したヘルスケア向けオムニチャネル技術を提供しているそうです。この脆弱性自体はクロスサイトスクリプティング(XSS)脆弱性で、攻撃者がターゲットブラウザで情報を読み取る可能性があります。この脆弱性から完全に保護されるには、プログラムの設定で「Block XSS」フィールドを有効にしてJavaScriptインジェクションを防ぐ必要があります。Microsoft社によると、「影響を受けたすべての顧客にはNuanceチームからこの更新を適用するよう通知済み」とのことですが、Nuanceを利用している場合は念のため自分でも確認しておくとよいでしょう。
今月は新しいアドバイザリのリリースはありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年7月8日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年6月発表の全リスト
2025年6月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The June 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)