エクスプロイト&脆弱性
2025年7月 セキュリティアップデート解説:Microsoft社は140件、Adobe社は60件の脆弱性に対応
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年7月Adobe社からのセキュリティアップデート
7月のAdobe社は最終的に、ColdFusion、After Effects、Substance 3D Viewer、Audition、InCopy、InDesign、Connect、Dimension、Substance 3D Stager、Illustrator、FrameMaker、Experience Manager Forms、Experience Manager Screensに関する13件のセキュリティ情報を公開し、合計60件の脆弱性に対応しました。中でも注目すべきは、ColdFusionです。唯一「優先度1」に分類されており、13件の脆弱性を修正、そのうち5件は深刻度が「緊急」とされています。
ColdFusionは現在では「レガシー」な存在と見なされるべきでしょう。もしまだ利用している場合は、より現代的なプラットフォームへの移行を検討することをおすすめします。また、FrameMakerのパッチも比較的大型で、リモートコード実行につながる可能性のある「緊急」な脆弱性13件を含む、合計15件に対応しています。Illustratorに関しても、10件の脆弱性が修正されており、最も深刻なものはリモートコード実行のリスクがあります。
それ以外のパッチは比較的規模が小さくなっています。After Effectsのアップデートでは「Important」レベルの脆弱性2件を修正しています。Substance 3D Viewerでは、深刻度「緊急」1件と「重要」2件に対応。Auditionの更新では、サービス拒否(DoS攻撃)につながる1件の脆弱性が修正されています。InCopyはリモートコード実行につながる可能性のある「緊急」な3件の脆弱性に対応し、InDesignでは同様に6件の「緊急」な脆弱性が修正されました。Connectのパッチでは、1件の「緊急」な脆弱性に対応し、Experience Manager Formsも同様に1件の「緊急」な脆弱性に対応しています。Substance 3D Stagerの更新ではメモリリーク1件を修正し、Dimensionではメモリリークとリモートコード実行につながる「緊急」な脆弱性に対応。Experience Manager Screensではクロスサイトスクリプティング(XSS)に関する2件の脆弱性が修正されています。
今月Adobe社が修正した脆弱性のうち、リリース時点で公表済みまたは攻撃に悪用されているものはありません。ColdFusionのパッチを除き、すべての更新は展開優先度「3」に分類されています。
2025年7月Microsoft社からのセキュリティアップデート
今月のMicrosoft社は、Windowsおよびその各種コンポーネント、Officeおよびその関連コンポーネント、.NETとVisual Studio、Azure、Teams、Hyper-V、Windows BitLocker、ChromiumベースのMicrosoft Edge、そしてWindowsの暗号サービスにおいて、合計130件の新たな脆弱性を修正しました。これらのうち8件はZDIプログラムを通じて報告されたものです。さらにサードパーティ由来の脆弱性も加わり、今月の総修正数は140件に達しています。
今回公開されたパッチのうち、10件は深刻度が「緊急」、それ以外はすべて「重要」と評価されています。7月は例年、修正件数が多めになる傾向がありますが、その理由ははっきりしていません。8月初旬に開催されるBlack HatやDEFCONといったセキュリティ会議に備え、できるだけ多くの問題を事前に修正しておきたいという意図があるのかもしれませんし、単にMicrosoft社のテストサイクルの都合による偶然という可能性もあります。
Microsoft社は、今回の更新で修正された脆弱性のうち1件についてはリリース時点で既に公に知られていたことを明記していますが、実際に悪用されているとの報告は確認されていません。では、この中でも特に注目される更新内容をいくつか詳しく見ていきましょう。最初に取り上げたいのは、多くの人が話題にするであろう以下の脆弱性です。
CVE-2025-47981 - SPNEGO Extended Negotiation (NEGOEX) セキュリティメカニズムのリモートコード実行の脆弱性
このヒープベースのバッファオーバーフローは、WindowsのSPNEGO Extended Negotiationコンポーネントに影響を与えるもので、リモートの認証されていない攻撃者が、悪意のあるメッセージを送信するだけでコードを実行できてしまいます。ユーザによる操作が一切不要であり、しかもコードが高い権限で実行されることから、この脆弱性は「ワーム化可能な脆弱性」と分類されます。Microsoft社はこの問題に対して最も高い悪用可能性のインデックスを付けており、30日以内に攻撃が始まる可能性が高いと見ています。このパッチは迅速に検証・適用することを強くおすすめします。
CVE-2025-49717 - Microsoft SQL Server のリモートコード実行の脆弱性
同じくヒープベースのバッファオーバーフローに関連する脆弱性が、SQL Serverにも存在しています。影響を受けるSQL Serverシステム上で、攻撃者が悪意のあるクエリを実行することで、リモートコード実行が可能になります。さらに、SQL Serverの実行コンテキストを脱出し、ホストシステム上でコードを実行することも可能です。この修正は一筋縄ではいきません。影響を受けるシステム上で独自のアプリケーションや該当するサードパーティ製アプリケーションを使用している場合、Microsoft OLE DB Driver 18または19への更新が必要です。詳しい手順はセキュリティ情報に記載されていますので、すべての対応が正しく行われるよう、内容をよく確認してください。
CVE-2025-49704 - Microsoft SharePoint のリモートコード実行の脆弱性
この脆弱性は、Pwn2Own Berlinで報告されたもので、Viettel Cyber SecurityチームがSharePointを標的にした攻撃チェーンの一部として使用し、賞金10万ドルを獲得しました。この脆弱性はネットワーク経由でコードインジェクションを可能にします。単体ではある程度の認証が必要ですが、コンテストでは認証バイパスの脆弱性と組み合わせて、この要件を回避する形で利用されました。同チームによる実演は、認証だけでは攻撃からの防御として不十分であることを示しています。
CVE-2025-49695 - Microsoft Office のリモートコード実行の脆弱性
この脆弱性は、今回のリリースに含まれる4件の「緊急」評価であるOffice関連脆弱性の1つで、いずれもプレビューウィンドウが攻撃経路とされています。「緊急」に評価されたOfficeの脆弱性が3か月連続で報告されていることからも、非常に懸念される傾向といえます。こうした脆弱性がまだ多数発見可能であるのか、あるいは既存のパッチが容易に回避されてしまうのかは不明ですが、いずれにしてもMacユーザには厳しい状況です。Microsoft Office LTSC for Mac 2021および2024のアップデートはまだ提供されていないため、プレビューウィンドウの無効化を検討するのも一つの選択肢かもしれません。Microsoft社側での対応が進むまで、注意が必要です。
その他の脆弱性
「緊急」に分類された修正脆弱性
今月のリリースで取り上げるべき「緊急」評価の脆弱性は、その他では3件となっています。1つ目はHyper-Vに関するもので、攻撃者が対象ユーザにINFファイルをインポートさせることに成功すれば、ローカルシステム上でコードを実行できる可能性があります。次に、Windows KDC Proxy Serviceに関する脆弱性で、Kerberosキー配布センター・プロキシサービスにおける暗号プロトコルの脆弱性を利用することでリモートコード実行が可能になります。ただし、標的として魅力的である一方で、攻撃の実行には高度な条件が必要です。最後に、Imaging Componentに関する情報漏洩の脆弱性が「緊急」とされていますが、漏洩するのはヒープメモリの内容のみであるため、なぜ深刻度がここまで高く評価されているのかは明確ではありません。
リモートコード実行関連
リモートコード実行関連の脆弱性を見てみると、Officeにはいわゆる「open-and-own(ファイルを開くだけで乗っ取られる)」型の脆弱性が引き続き存在しますが、今回はプレビューウィンドウが攻撃経路ではありません。また、RRASサービスに関しては今月も多くの脆弱性が報告されており、7月だけで14件が含まれています。MPEG2関連のいくつかの脆弱性は認証が必要で、IntuneのSQLインジェクション脆弱性にも同様の条件があります。SharePointの脆弱性も認証が必要ですが、サイトを作成する権限があれば利用可能です。
Virtual Hard Drive(仮想ハードディスク)の脆弱性では、細工されたVHDをマウントする必要があり、実際の攻撃は現実的とは言えません。RDPクライアントの脆弱性では、悪意あるRDPサーバへの接続が前提となるため、これも非現実的です。Windows Server SetupとBoot Event Collectionに関する脆弱性は高い権限が必要ですが、一度侵入に成功した後の永続化に悪用される可能性があります。さらに非現実的なケースとしては、Miracastにおける脆弱性があり、これはターゲットのユーザが悪意あるMiracastシンクに接続し、かつデフォルトとは異なる設定をしている必要があります。
Windows Connected Devices Platform Serviceに関する脆弱性では、攻撃者がTCPポート5040宛に特殊なパケットを送信することでリモートコード実行が可能になりますが、サービスの再起動が必要という条件があります。Visual StudioのPythonコンポーネントにも脆弱性があり、Python拡張機能の問題により、認証されていない攻撃者がローカルでコードを実行できる可能性があります。最後に、Azure Monitor Agentの脆弱性では、隣接ネットワーク上から未認証の攻撃者がコードを実行できる脆弱性が存在します。自動拡張機能のアップグレードを無効にしている環境では、エージェントを手動で更新する必要があります。
特権昇格関連
7月のリリースには、50件を超える特権昇格の脆弱性が含まれています。これらの多くは、認証済みのユーザが細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限の取得を可能にするものです。Virtual Hard DiskやFast FATに関する脆弱性は、対象ユーザが仮想ドライブをマウントする必要があります。また、ローカル攻撃者がシステムをクラッシュさせることで特権昇格に繋げるタイプの脆弱性も一部存在します。
その他の脆弱性は製品ごとに異なるレベルの特権昇格を引き起こします。Officeにおける特権昇格の脆弱性は、保護ビュー(Protected View)のサンドボックスからの脱出に関係しています。仮想化ベースのセキュリティ(Virtualization-Based Security)に関する脆弱性では、攻撃者がVirtual Trust Level 1(VTL1)の権限を取得できる可能性があります。IME(Input Method Editor)に関連する脆弱性では、低整合性レベルから中整合性レベルへのコード実行が可能になります。
Universal Print Management Serviceに関しては少し異なる性質を持っており、認証された攻撃者が共有プリンターに特殊なファイルを送信することで、そのプリンターを共有しているシステム上でコードが実行される可能性があります。最後に、Azure Fabric RuntimeのバグもSYSTEM権限に繋がりますが、攻撃者にはいくつかの追加ステップが必要です。さらに、自動更新を無効にしている場合には、Server Fabric Clusterを手動で更新する必要があります。
セキュリティ機能バイパス関連
今月リリースされたセキュリティ機能バイパスに関するパッチでは、BitLockerに対して5件の修正が行われています。状況はそれぞれ異なるものの、いずれもBitLockerの保護を回避できる可能性があります。SmartScreenの脆弱性では、その保護機能を回避することが可能になります。現時点でこの脆弱性が悪用されているわけではありませんが、類似の脆弱性がランサムウェアによって実際に利用された事例があります。Remote Desktop Licensingに関する脆弱性では、中間者(MitM)攻撃が必要ですが、Microsoft社はどのセキュリティ機能が具体的に回避されるのか明示していません。最後のセキュリティ機能バイパス関連の脆弱性はOffice Development Platformにあり、OfficeのVisual Basic for Applications(VBA)における署名スキームを回避できる可能性があります。
情報漏洩関連
7月のリリースには、情報漏洩に関するパッチも多数含まれています。いつも通り、これらの多くはWindows Storage Management Providerに関連しており、漏洩するのは未特定のメモリ内容です。システム上の他のコンポーネントを悪用する際の手がかりとしては有用ですが、それ以外の場面ではあまり注目すべき内容ではありません。この傾向はSQL Serverに関する脆弱性でも同様です。ただし、前述のSQLのリモートコード実行の脆弱性と同様に、Microsoft OLE DB Driver 18または19への手動アップデートが必要となる可能性があります。GDIに関する脆弱性では、「機微な情報」が漏れる可能性があるとされており、これはCryptographic Serviceの脆弱性で漏れる内容よりも若干具体的です。後者については、Microsoft社は単に「ネットワーク経由で情報を開示される可能性がある」とだけ説明しています。
サービス拒否(DoS攻撃)関連
今回のリリースには、サービス拒否(DoS攻撃)に関する脆弱性の修正も5件含まれていますが、Microsoft社はこれらについて具体的な情報をほとんど提供していません。内容は、ネットワーク経由でそのコンポーネントに対してサービスを妨害できる、という一文のみです。唯一の例外は、Windows Performance Recorderに関する脆弱性です。この脆弱性では、認証済みの攻撃者がディレクトリを作成し、その後管理者がwprui.exeを初回実行することで悪用が成立する可能性があります。ただし、この攻撃が実際に広く悪用されるとは考えにくいでしょう。
なりすまし関連
今月パッチが適用されたなりすまし関連の脆弱性の中で、まず注目すべきはSharePoint Serverに関するものです。これはPwn2OwnでViettelチームが、認証された接続を偽装することで認証をバイパスする際に使われた脆弱性です。Remote Desktopにおけるなりすまし関連の脆弱性は、ユーザを騙して偽のWebAuthnプロンプトに入力させる必要があるため、ある程度のソーシャルエンジニアリングが必要です。Storageに関する脆弱性では、攻撃者がユーザを誘導して、攻撃者が制御するネットワークリソースに接続させる手段として悪用される可能性があります。最後に、SMB(Server Message Block)におけるなりすまし関連の脆弱性は証明書の検証処理に問題があり、ネットワーク上で証明書を偽装できてしまう恐れがあります。
改ざん関連
7月の最後のパッチは、「改ざん(Tampering)」というあまり明確でないカテゴリーに分類されています。これはWindows StateRepository API Serverに関するもので、AppContainerを抜け出して特定のファイルを削除できるという内容です。これが「改ざん」と定義されているのも、まあ納得できる範囲でしょう。
なお、今月は新しいアドバイザリのリリースはありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年8月12日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年7月発表の全リスト
2025年7月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The July 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)