エクスプロイト&脆弱性
2025年10月 セキュリティアップデート解説:Microsoft社は197件、Adobe社は36件の脆弱性に対応
現在アイルランドのコークにて「Pwn2Own Ireland」の準備を進めています。今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
現在アイルランドのコークにて「Pwn2Own Ireland」の準備を進めています。今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年10月Adobe社からのセキュリティアップデート
2025年10月は、Adobeが12件のセキュリティ情報を公開し、Adobe Connect、Commerce、Creative Cloud Desktop、Bridge、Animate、Experience Manager Screens、Substance 3D Viewer、Substance 3D Modeler、FrameMaker、Illustrator、Dimension、Substance 3D Stagerに関する36件の脆弱性に対応しました。
このうち最も重要と思われるのは、Substance 3D Stager向けのアップデートで、深刻度が「緊急」と評価されたコード実行の脆弱性5件を修正しています。Dimensionの修正では、4件のリモートコード実行脆弱性が解消されています。Illustratorのパッチには2件のみ含まれていますが、いずれもリモートコード実行につながる問題です。Commerceの更新も優先度が高く、セキュリティ機能バイパスを含む5件の脆弱性を修正しています。FrameMakerのパッチでは、「緊急」に評価されたリモートコード実行脆弱性2件を修正しています。
Connectの更新では3件の脆弱性が修正されていますが、そのうち2件はクロスサイトスクリプティング関連です。Animateの修正は4件で、そのうち2件が「緊急」に分類されています。Substance 3D Viewerに含まれる4件のうち3件も「緊急」の評価となっています。Experience Manager Screensのパッチは3件のクロスサイトスクリプティング関連の脆弱性を修正しています。Substance 3D Modelerの修正はリモートコード実行関連の脆弱性1件のみです。Creative Cloudのパッチも1件の脆弱性に対応しています。最後に、Bridgeの更新では、リモートコード実行関連の脆弱性1件とメモリリーク関連の1件を修正しています。
今月Adobeが修正した脆弱性の中に、公開済みまたは攻撃が確認されているものはありません。すべての更新は「デプロイ優先度3」として分類されています。
2025年10月Microsoft社からのセキュリティアップデート
今月、MicrosoftはWindowsおよびそのコンポーネント、Officeおよびその関連コンポーネント、ChromiumベースのMicrosoft Edge、Azure、Hyper-V、.NETとVisual Studio、GitHub、Exchange Server、BitLocker、そしてXboxに関して177件の新しい修正対応を公開しました。今回の修正のうち、16件が「緊急」、1件が「警告」、残りは「重要」に分類されています。このうち1件はTrend ZDIプログラム経由で報告されたものです。さらに、リリースに含まれるサードパーティのアップデートを加えると、総脆弱性数は197件という驚異的な数になります。
このリリースは、Microsoftにとって過去最大の月次更新であり、すでに昨年の総CVE数を上回りました。2025年も残り2か月となりましたが、すでにMicrosoft史上2番目に多い更新件数の年となる見込みです。2020年の1,250件を超える可能性もあります。今月の膨大な件数は、Windows 10のサポート終了が影響している可能性があります。Microsoftは、まだ旧OSを使用しているユーザ向けにできる限り多くの修正を提供しているのかもしれません。
いずれにしても、大規模なリリースがMicrosoftの新しい常態になりつつあるようです。品質の高い更新であることを願いたいところです。他のソフトウェアに悪影響や不具合を生じさせるような結果になれば、セキュリティパッチの適用をためらう人々がさらに増えるだけです。
Microsoftは、今回のリリース時点で実際に攻撃を受けている脆弱性を3件、公開済みのものを3件報告しています。ここからは、特に注目すべき更新内容を見ていきましょう。まずは、実際に攻撃が確認されている脆弱性から取り上げます。
CVE-2025-24990 - Windows Agere Modem Driver 権限昇格の脆弱性
この脆弱性は、Agereモデムドライバーがインストールされているシステムで攻撃者が管理者権限に昇格できる不具合です。問題のドライバーはサポート対象のWindowsバージョンに標準で含まれています。これらは旧式のドライバーであるため、解決策は問題のファイルを削除することです。Microsoftはこの攻撃の規模について具体的な情報を示していませんが、脆弱なファイルがすべてのWindowsシステムに存在することを考慮すると、広範な攻撃とみなして早急に更新する必要があります。
CVE-2025-59230 - Windows Remote Access Connection Manager 権限昇格の脆弱性
この権限昇格の脆弱性を悪用すると、攻撃者は影響を受けるシステム上でSYSTEM権限としてコードを実行できます。この種の脆弱性は、コード実行の脆弱性と組み合わせて使用されることが多く、システム全体の乗っ取りにつながります。この攻撃がどの程度広がっているかは不明ですが、すべてのWindowsバージョンが影響を受けるため、迅速にテストと展開を行うことが推奨されます。
CVE-2025-47827 - MITRE CVE-2025-47827: IGEL OS 11以前のSecure Bootバイパス
この脆弱性はやや特異なケースですが、興味深い内容です。IGELはLinuxベースのOSで、アプリケーションを中心に設計されたモジュラー型システムです。ベンダーによると、アプリは基盤となるOSに依存せずに配信できるとのことです。その点がこの問題をさらに興味深いものにしています。攻撃者が物理的にデバイスへアクセスし、この構成下でSecure Boot機能を回避してアクセス権を得ることができたとされています。非常に標的を絞った攻撃であると考えられますが、すべてのサポート対象Windowsバージョンに影響を及ぼすため、この修正も軽視せずに適用する必要があります。
CVE-2025-59287 - Windows Server Update Service (WSUS) リモートコード実行の脆弱性
この脆弱性は現時点で実際の攻撃は確認されていませんが、早期に標的となる可能性が高いと考えられます。CVSSスコアは9.8で、認証されていないリモート攻撃者がユーザ操作なしに昇格した権限でコードを実行できる不具合です。つまり、影響を受けるWSUSサーバ間でワームのように拡散する可能性があります。WSUSは多くの企業や組織にとって重要なインフラの一部であり、攻撃者にとって魅力的な標的といえます。WSUSを使用している場合は、テストを行ったうえで速やかにこの更新を適用する必要があります。
その他の脆弱性
「緊急」に分類された脆弱性
その他に「緊急」に評価された脆弱性対応を見ると、複数のOffice関連の脆弱性がリモートコード実行につながるもので、プレビューペインが攻撃経路として悪用される点が特徴です。これらの問題は毎月のようにMicrosoftを悩ませており、早期の根本的な解決が望まれます。GraphicsコンポーネントにもCVSSスコア9.9の脆弱性がありますが、説明文からはなぜこれほど高い評価なのか明確ではありません。
今回のリリースにはいくつかのAzure関連の脆弱性も含まれていますが、すでに修正済みで追加の対応は不要です。一方で、修正が必要なAzure Container Instancesの脆弱性があり、攻撃者がターゲットのゲスト環境でコードを実行できる可能性があります。これはAzure Compute Galleryで「緊急」に評価された脆弱性にも共通しています。
また、注目すべきサードパーティのAMD関連の脆弱性もあります。Microsoftによると、「Azure Confidential Computing(ACC)のAMDベースのクラスター向けに、この脆弱性を軽減する更新を開発中だが、まだ完了していない」とのことです。すでに情報が公開されているため、悪用に関する報告には注意を払う必要があります。
リモートコード実行関連
その他のリモートコード実行脆弱性については、今月のリリースでは約30件程度で、その多くはOfficeコンポーネントにおける「ファイルを開くだけで侵害される」タイプの問題です。これらの場合、プレビューペインは攻撃経路にはなりません。SharePoint Serverの脆弱性は認証が必要ですが、必要な権限レベルは高くありません。RDPクライアントにも脆弱性がありますが、悪意あるRDPサーバに接続しない限り悪用はされません。
過去のコンポーネントを見てみると、Internet Information Services(IIS)にも複数の脆弱性があり、細工されたファイルを開いた場合にコード実行につながる可能性があります。これはRemote Desktop Protocolに存在する脆弱性と同様の攻撃シナリオです。最後に、MicrosoftはハロウィンにあわせてInternet Explorerを再び「復活」させるパッチを提供しました。もはや消えたと思われたIEが再び登場するのは、まるでホラー映画で最後まで生き残った主人公を執拗に追いかけるマイケル・マイヤーズのようで終わりのない存在といえます。
特権昇格関連
今月の特権昇格に関する修正は、全体の半数以上を占める約80件に上ります。多くの脆弱性は、認証済みユーザが細工されたコードを実行した場合に、SYSTEMレベルのコード実行や管理者権限を取得できる問題です。そのほかの脆弱性では、これによりリモートコード実行の整合性レベルが引き上げられる可能性があります。たとえば、LowからMedium、あるいはMediumからLocal Systemへと昇格する形です。
なお、Bluetooth関連の更新は9月にひそかに修正されており、今回初めて正式に文書化されました。このような対応は多くの理由から望ましくありませんが、ここでは詳細に触れません。特筆すべき例外として、Exchange Serverの脆弱性があります。攻撃者はこれを悪用して、Exchangeユーザ全員のメールボックスを乗っ取り、メールの閲覧や添付ファイルのダウンロードが可能になります。Azure Monitor Agentの脆弱性では、攻撃者がARC対応の仮想マシンからNT SYSTEM権限でシステム上の任意のファイルを読み取ることができます。カーネルに存在する2件の脆弱性では、任意のユーザがシステムをクラッシュさせることが可能であり、の特権昇格というよりはサービス拒否(DoS攻撃)関連に近い性質といえます。
追加の作業が必要な脆弱性もあります。Azure Connected Machine Agentの脆弱性は、最新のバージョンへのアップグレードが必要です。Virtual Based Security(VBS)エンクレーブに関しては、パッチ適用に加えて、最新の変更に対応したVirtualization-based Security(VBS)関連のセキュリティ更新のロールバックを防ぐためのガイダンスを適用する必要があります。最後に、Xbox Gaming Serviceの脆弱性では、攻撃者が特定のファイルを削除できる問題があり、知識のある者が利用すればEoP攻撃に発展する可能性があります。
セキュリティ機能バイパス関連
今月のリリースには10件のセキュリティ機能バイパスに関する修正が含まれており、そのうち6件はWindows BitLockerの回避(バイパス)に関するものです。これらは物理的なデバイスアクセスを前提としますが、今月すでに報告されている実際の攻撃対象となっている脆弱性の中にも同じ条件を持つものがあるため、軽視すべきではありません。Windows Helloに存在する脆弱性は、顔認証や指紋認証を回避できる可能性があります。ASP.NETの回避脆弱性では、HTTPリクエストを密かに転送してフロントエンドのセキュリティ制御をすり抜けたり、他のユーザーの認証情報を奪取したりすることが可能です。この修正を適用する際には、ASP.NET Coreアプリケーションを保護するための追加手順が必要であり、手順はセキュリティ情報内に記載されています。実装方法によって内容が異なるため、それぞれの環境に応じて確認する必要があります。RDPに存在する脆弱性は、攻撃者がRDP認証を回避できる可能性があります。今月最後のセキュリティ機能バイパス関連の脆弱性は、カーネルに存在し、本来は難読化されているドライバー設定を攻撃者が復号できる不具合です。
情報漏洩関連
10月のリリースには十数件の情報漏洩に関する修正が含まれており、予想どおり、ほとんどの脆弱性は特定されていないメモリ内容やメモリアドレスが漏洩する程度の情報漏えいにとどまります。もっとも、例外も存在します。Cryptographic Servicesの脆弱性では、影響を受けるアプリケーションのユーザに関連する機密情報や特権情報が漏えいする可能性があります。ADFSの脆弱性では、攻撃者がADFSログ内のシングルサインオン(SSO)クッキーを取得できるおそれがあります。Failover Clusterコンポーネントの脆弱性では、Compute Instance上のシステムログに記録されたデータ、平文パスワードを含む情報が外部に露出する可能性があります。この修正を適用するだけでなく、影響を受けるすべてのユーザに対してパスワードの変更を実施させる必要があります。
Windows Push Notificationsの脆弱性では、「EventLog」サービスに関連するメモリアドレスが漏えいするおそれがあります。.NET、.NET Framework、Visual Studioの脆弱性は、対象システム上で個人を特定できる情報(PII)が漏えいする可能性があります。最後に、タスクバーの脆弱性では「機密情報や特権情報」が露出するおそれがありますが、その具体的な内容については明確にされていません。
なりすまし関連
今月は注目すべきなりすまし関連の脆弱性は10件、加えて対応不要のものが3件含まれています。SQL用JDBCドライバーの脆弱性では、攻撃者が標的をだまして悪意のあるサーバへ接続させる可能性があります。Data Sharingの脆弱性については詳細情報がほとんどありませんが、認証が必要とされています。Exchangeの脆弱性については「攻撃者がネットワーク経由でスプーフィングを行う可能性がある」とのみ記されています。これはNTLMハッシュ情報漏えいやFile Explorerに関する脆弱性の説明と同一です。Confidential Virtual Machinesの脆弱性では対象がローカルユーザーに限定されており、Playwrightの脆弱性では隣接ネットワーク内に制限されています。
サービス拒否(DoS攻撃)関連
今回のリリースには、サービス拒否(DoS攻撃)に関する10件の修正も含まれています。Microsoftはこれらの脆弱性について実行可能な詳細を一切明らかにしておらず、攻撃者がネットワークまたはローカル経由で対象コンポーネントにサービス拒否を引き起こす可能性があるとだけ説明しています。特筆すべきはOffice向けの修正で、プレビューペインが攻撃経路になるとされていますが、Microsoftはユーザ操作が必要であるとも述べており、DoSの発生条件は明確ではありません。
改ざん関連
さらに、SMBクライアントに改ざんの脆弱性も報告されており、中間者攻撃(MITM)を介して悪用される可能性があります。
クロスサイトスクリプティング関連
最後に、Dynamics 365(オンプレミス)におけるクロスサイトスクリプティング関連の脆弱性が今回の10月リリースの締めくくりとなります。
今月は新しいアドバイザリは公開されていません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年11月11日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年10月発表の全リスト
2025年10月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The October 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)