エクスプロイト&脆弱性
2025年9月 セキュリティアップデート解説:Microsoft社は81件、Adobe社は22件の脆弱性に対応
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年9月Adobe社からのセキュリティアップデート
9月のAdobeのリリースでは、Acrobat Reader、After Effects、Premiere Pro、Commerce、Substance 3D Viewer、Experience Manager、Dreamweaver、Adobe 3D Substance Modeler、ColdFusionに関する9件のセキュリティ情報が公開され、合計22件の脆弱性が修正されました。このうちColdFusionの更新だけが優先度1とされていますが、悪用は確認されていないと報告されています。Commerce向けの修正では、「緊急」に分類された1件の脆弱性が対象となっており、優先度は2に分類されています。こちらも悪用の報告はありません。またAcrobat向けの更新では、「緊急」と「警告」に分類されたそれぞれ1件ずつの脆弱性が修正されています。
After Effectsの更新では、「重要」とされた3件の脆弱性が修正されています。Premiere Proでは、コード実行につながる可能性のある1件の脆弱性が修正対象となりました。Substance 3D Viewer向けの更新では、3件のリモートコード実行に関する脆弱性が修正されています。Substance 3D Modelerについても同様に、3件のリモートコード実行につながる脆弱性が修正されました。Experience Managerの修正は今月最大規模で、7件の脆弱性が修正されていますが、そのうち「緊急」とされたものは1件のみです。Dreamweaverについては、クロスサイトリクエストフォージェリ(CSRF: Cross-Site Request Forgery)に関する1件の脆弱性が修正されています。
今月Adobeが修正した脆弱性のいずれについても、公開済みや攻撃中といった報告はありません。ColdFusionとCommerceを除けば、すべての更新は優先度3として分類されています。
2025年9月Microsoft社からのセキュリティアップデート
今月Microsoftは、Windowsおよびそのコンポーネント、Officeおよびそのコンポーネント、ChromiumベースのMicrosoft Edge、Azure、Hyper-V、SQL Server、Defender Firewall Service、そしてXboxに関連する80件の新しい脆弱性を公開しました。サードパーティによってリリースされ、現在Microsoftのリリースに含まれているものを含めると、合計81件となります。今回の修正のうち、8件は「緊急」に分類され、それ以外は「重要」とされています。この件数により、Microsoftは昨年の同時期と比べておよそ100件多い脆弱性を公開したことになります。今年の残り期間にわたって、この高い水準の修正が続くかどうかが注目されます。
今回のリリース時点で、Microsoftは1件の脆弱性が公開済みであるとしていますが、攻撃中とされているものはありません。今月特に注目される更新のいくつかを詳しく見ていきます。最初に紹介するのは、CVSS 9.8と評価された脆弱性です。
CVE-2025-55232 - Microsoft High Performance Compute (HPC) Pack リモートコード実行の脆弱性
今月の中で最も深刻とされた脆弱性で、CVSSスコアは9.8となっています。リモートから認証を必要としない攻撃者が、ユーザ操作なしに影響を受けるシステム上でコードを実行できる可能性があり、HPC Packを導入している環境間でワーム的に拡散する恐れがあります。Microsoftは、HPC Packクラスタを安全な環境でのみ展開することを推奨しています。また、TCPポート5999を遮断するよう呼びかけています。HPC Packクラスタを利用している場合は、最優先で適用すべき更新です。
CVE-2025-54910 - Microsoft Office リモートコード実行の脆弱性
これで8か月連続となり、少なくとも1つのOfficeコンポーネントがプレビューウィンドウ経由でコード実行を許してしまう状況が続いています。Microsoftがこうした修正を月ごとに小出しにするのではなく、統合して対応してくれると望ましいのですが、そうはならないと考えられます。当面は、Microsoftが問題を整理するまでプレビューウィンドウを無効化することを検討してもよい段階にきています。
CVE-2025-54918 - Windows NTLM 特権昇格の脆弱性
この特権昇格の脆弱性を利用すると、認証済みの攻撃者がネットワーク経由で影響を受けるシステム上で標準ユーザからSYSTEM権限へ昇格できます。スコープ変更には当たりませんが、Windowsの標準ユーザからSYSTEMへの昇格は攻撃者にとって大きな利点となります。Microsoftはまた、悪用の複雑性が低いと指摘しており、脅威行為者が狙う可能性が高いとみられます。この更新は迅速に検証し、展開することが推奨されます。
その他の脆弱性
「緊急」に分類された脆弱性
その他の「緊急」の修正対応を見ると、Graphics ComponentやGraphics Kernelにいくつかの脆弱性がありますが、いずれも認証済みユーザが必要であり、コード実行の問題というよりは特権昇格に近い性質を持っています。Windows Imaging Componentにおける情報漏洩の脆弱性も緊急とされていますが、ランダムなメモリ断片が漏洩する程度であるため、なぜ緊急に分類されているのかは明確ではありません。
リモートコード実行関連
その他のリモートコード実行の脆弱性としては、Officeコンポーネント、特にExcelに多数存在しています。恒例となっているRRAS関連の脆弱性も含まれています。SMB Clientの脆弱性は深刻に見えますが、認証が必要です。NTFSの脆弱性についても同様に認証が必要となります。SharePointの脆弱性はサイト所有者の権限を要求しますが、サイトを作成できるユーザであればこの権限を持っています。最後に、Windows Graphics Componentの脆弱性はユーザの操作が必要となります。総合的に見ると、今月のリモートコード実行に関する脆弱性は比較的少なめといえます。
特権昇格関連
今月のリリースのほぼ半分を占めているのが特権昇格の脆弱性です。認証済みユーザが細工されたコードを実行した場合、多くはSYSTEMレベルのコード実行や管理者権限の取得につながります。Defender Firewall Serviceには6件の脆弱性があり、攻撃者が中程度の整合性で実行されるコードからLocal Serviceに昇格できてしまいます。Azure Arcに存在する脆弱性は興味深く、影響を受けるサーバにVM拡張を追加できる可能性があります。Azure Connected Machine Agentの脆弱性はSYSTEM権限に至りますが、最新バージョンへの手動アップデートが必要です。
Mac向けのMicrosoft AutoUpdate(MAU)にある脆弱性は攻撃シナリオとしては現実性が低いものの、影響を受けるシステムでroot権限を取得される可能性があります。Virtual Hard Diskの脆弱性はシステムクラッシュにつながる可能性があり、Windows UI XAML Phone DatePickerFlyoutの脆弱性も同様にクラッシュを引き起こす可能性がありますが、AppContainerの回避に悪用される恐れもあります。カーネルに存在する脆弱性の一部についても、AppContainerの回避に利用される可能性があります。
MultiPoint Servicesの脆弱性ではファイル削除が可能となり、これが特権昇格に利用されることがあります。Xboxにある脆弱性でも標的ファイルの削除が可能ですが、これが特権昇格に発展するかどうかは不明です。SMBの脆弱性については、侵害されたユーザの権限を取得することから、なりすましの脆弱性と考えるのが妥当でしょう。リレー攻撃に対する防御を強化するための追加手順がこちらに公開されており、まだ対応していない場合は実施すべきです。
先月と同様に、SQL Serverの修正は正しいバージョンが導入されているかどうかを確認する必要があり、追加の対応が求められます。PowerShellの脆弱性も非常に興味深く、これも偽装攻撃と捉えられる可能性があります。この脆弱性を利用すると、攻撃者はホスト上の管理者ユーザとゲストVMの間で確立されたPowerShell Directセッションを乗っ取ることができ、認証済みユーザがホストの管理者ユーザを偽装し、ゲスト側の操作を自由に制御できてしまいます。
情報漏洩関連
9月のリリースには十数件の情報漏洩に関する更新が含まれています。想定通り、その多くは特定されていないメモリ内容やメモリアドレスが漏洩するだけのものです。システム上のコンポーネントを悪用する際には役立つ情報となり得ますが、それ以外に大きな意味はありません。既に触れた「緊急」の脆弱性を除けば、唯一の例外はSQL Serverに存在する脆弱性で、「機微な情報」を漏洩する可能性があるとされています。
セキュリティ機能バイパス関連
今月のリリースにはセキュリティ機能バイパスの脆弱性が2件あり、いずれもMapUrlToZoneコンポーネントに影響します。名前が示す通り、これらの脆弱性を利用すると、URLが誤ったセキュリティゾーンに割り当てられる可能性があります。
なりすまし関連
Office Plusに存在するなりすまし関連の脆弱性については、ほとんど情報が公開されていません。Office Plusに馴染みがない場合もあるかもしれませんが、これはMicrosoftの中国チームが2022年に立ち上げた製品で、主にウェブ版を通じてPowerPointテンプレートなどのOfficeテンプレートを提供しています。このことから考えると、攻撃者が正規ユーザを装ってOffice Plusのリソースにアクセスする可能性があると推測されます。
サービス拒否(DoS攻撃)関連
今回のリリースに含まれるサービス拒否(DoS攻撃)関連の脆弱性に関する修正対応は3件のみです。例によってMicrosoftはこれらの脆弱性に関する実行可能な情報をほとんど提供しておらず、攻撃者がネットワーク経由でそのコンポーネントに対してサービスを拒否できる可能性があるとだけ記載しています。
今月は新しいアドバイザリの公開はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年10月14日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年9月発表の全リスト
2025年9月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The September 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)