エクスプロイト&脆弱性
2025年11月 セキュリティアップデート解説:Microsoft社は68件、Adobe社は29件の脆弱性に対応
アイルランドでの「Pwn2Own Ireland」が無事に終了し、今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
アイルランドでの「Pwn2Own Ireland」が無事に終了し、今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年11月Adobe社からのセキュリティアップデート
11月のAdobeは、InDesign、InCopy、Photoshop、Illustrator、Illustrator Mobile、Substance 3D Stager、Format Plugins、Adobe Passに関する8件のセキュリティ情報を公開し、合計29件の脆弱性に対応しました。このうち9件は、ZDIのリサーチャーであるMichel DePlante氏によって報告されたものです。彼はAdobe Format Pluginsに関する修正パッチで解消されたバグを発見しました。優先順位を付けるとすれば、InDesignのアップデートが最も重要で、4件の「緊急」と評価された脆弱性を修正しています。いずれも任意のリモートコード実行につながる可能性があります。Illustrator for iPadの修正も同様に、5件の「緊急」レベルのコード実行脆弱性に対応しています。
一方、デスクトップ版のIllustratorでは、リモートコード実行につながる脆弱性は2件のみであり、モバイル版とデスクトップ版の違いが興味深いところです。Photoshopでは、1件のリモートコード実行関連の脆弱性を修正しています。Substance 3D Stagerの更新では、4件の「緊急」レベルのリモートコード実行脆弱性が修正されました。InCopyのパッチでは、3件のリモートコード実行関連の脆弱性が修正されています。今月の最後のAdobeパッチは、Adobe Passにおける特権昇格の脆弱性を修正するものです。
全体として、今月のAdobeリリースはありがたいことに大きな話題にはなっていません。今月Adobeが修正した脆弱性の中には、公開済みや攻撃中として報告されているものはありません。すべてのアップデートは、展開優先度3として分類されています。
2025年11月Microsoft社からのセキュリティアップデート
今月、Microsoftは世界中のパッチ管理者たちに少しの慈悲を示すかのように、Windowsおよびそのコンポーネント、Officeおよびそのコンポーネント、ChromiumベースのMicrosoft Edge、Azure Monitor Agent、Dynamics 365、Hyper-V、SQL Server、そしてWindows Subsystem for Linux GUIに関するわずか63件のCVEを修正しました。今回の修正のうち、4件が「緊急」、59件が「重要」と評価されています。このうち1件はZDIプログラムを通じて報告されたものです。さらに、今回のリリースにはサードパーティであるChromiumの更新分も含まれており、合計の脆弱性件数は68件となります。
この件数は、先月の177件に比べるとかなり少なく、誰も不満を言うことはないでしょう。これでMicrosoftが今年これまでに対処した脆弱性の総数は1,084件となりました。今月初めに公開されたAzure LinuxおよびCBL Mariner向けの多数の更新は含まれておらず、これらはAzure関連のLinux向け脆弱性として扱うべきものです。件数の減少は、今月からWindows 10が更新対象外となったことにも関係している可能性があります。12月の動向次第では、2020年に記録された脆弱性件数の最高記録にどこまで近づくかが見えてくるでしょう。
Microsoftは今回、1件の脆弱性が攻撃中として確認されていると発表しましたが、公開済みのものは現時点ではありません。ここからは、今月の更新の中で注目すべきものを、まず攻撃中の脆弱性から順に見ていきます。
CVE-2025-62215 - Windowsカーネル特権昇格の脆弱性
現在悪用が確認されている脆弱性です。Microsoftは悪用の範囲について具体的な情報を提供していません。興味深い点として、この脆弱性には競合状態(レースコンディション)が関係しており、競合状態の中には他よりも悪用しやすいものがあることが示されています。この種の不具合は、マルウェアによってコード実行の脆弱性と組み合わせて利用されることが多く、システムの完全な乗っ取りにつながる可能性があります。優先順位を付けるなら、まずこの修正を最優先とすべきです。
CVE-2025-62199 - Microsoft Officeリモートコード実行の脆弱性
今月もOfficeに関する脆弱性が見つかっており、攻撃経路はプレビューペインとなっています。Microsoftは今回、プレビューペイン経由であってもユーザの操作が必要だと記載しており、実際にどのように悪用されるかは明確ではありません。添付ファイルをプレビューした場合などが想定されます。この段階では、Microsoftが問題を解消するまでOfficeのプレビューペインを無効化することを検討すべき状況です。
CVE-2025-60709 - Windows共通ログファイルシステム(CLFS)ドライバー特権昇格の脆弱性
この脆弱性は現時点で悪用されていませんが、結果としてSYSTEM権限でコードを実行できるようになります。CLFSは過去数年間にわたって複数回悪用されており、注目すべき存在です。最近オタワで開催されたCountermeasureカンファレンスで、CLFSの悪用手法について解説したプレゼンテーションを見たところもあり、記憶に新しいテーマです。プレゼンでは、最近の攻撃者によるCLFSの悪用事例が紹介されていました。
CVE-2025-62222 - Agentic AI と Visual Studio Code に関するリモートコード実行の脆弱性
CoPilotに関連する脆弱性はいくつか報告されていますが、Agentic AIに関するコード実行脆弱性として明示されたのは今回が初めてです。説明によると、この脆弱性を悪用するのは容易ではありません。ただし、一定のソーシャルエンジニアリングを組み合わせることで、攻撃者が対象のGitHubリポジトリ上で任意のコードを実行できる可能性があります。今月はCoPilot関連の修正が複数提供されていますが、この脆弱性は特に注目に値します。Agentic AIを使用している場合は注意が必要で、AIの幻覚(ハルシネーション)以上の問題に直面する可能性があります。
その他の脆弱性
「緊急」に分類された脆弱性
残りの「緊急」に分類されたパッチの中で注目されるのは、影響の大きさというよりも対応方法の点で、Nuance PowerScribe 360の更新です。影響を受けないバージョンに更新するには、カスタマーサクセスマネージャー(CSM)またはテクニカルサポートに連絡し、最新バージョンを入手する必要があります。「ただパッチを当てるだけ」とはいかないようです。DirectXには特権昇格の脆弱性があり、SYSTEM権限を取得される可能性がありますが、同様の脆弱性の一部が「重要」扱いである一方、なぜこれが「緊急」とされたのかは明示されていません。11月の最後の「緊急」のパッチはVisual Studioのコマンドインジェクションを修正するものです。ここで興味深いのは、悪用にはプロンプトインジェクション、CoPilotエージェントとの連携、ビルドの実行が必要な点です。非常に複雑な手順となりますが、どのような形でCoPilotが関与するのかは興味深いところです。
リモートコード実行関連
残りのコード実行脆弱性について見ると、Officeのさまざまなコンポーネントに「開くだけで侵害される」タイプのものが半ダースほど存在します。これらの場合、プレビューペインは攻撃経路ではありません。Azure Monitor Agentの脆弱性は「重要」と評価されていますが、その内容はそれ以上に深刻に感じられます。認証されていない攻撃者が、ユーザ操作なしに影響を受けるシステム上で任意のコードを実行できる可能性があります。自己増殖型(ワーム型)ではないにせよ、危険な脆弱性であることは確かです。
GDI+の脆弱性も同様に深刻で、今月最も高いCVSSスコア9.8を記録しています。攻撃者は、ユーザの操作なしにネットワーク経由でコードを実行できる可能性があります。GDI+の脆弱性は通常、画像の閲覧に関連しますが、今回の脆弱性は「特別に細工されたメタファイルを含む文書を解析するウェブサービス」にも影響する可能性があり、被害者の操作を必要としません。SharePointの脆弱性は、7月に実際に悪用が確認されたものと同様のデシリアライズ脆弱性です。認証が必要ですが、過去の攻撃では認証回避と組み合わせて利用されていました。Windows Subsystem for Linux GUIの脆弱性はユーザ操作を要しますが、修正はパッチのインストールではなくコマンドラインでの更新を意味します。最後に、RRASプロトコルにも複数の脆弱性が存在し、今月も修正が含まれています。
特権昇格関連
今月修正された特権昇格の脆弱性を見ると、多くは認証済みユーザが特別に細工されたコードを実行した場合に、SYSTEMレベルのコード実行や管理者権限を取得できるものです。その他の脆弱性では、コード実行の整合性レベルを引き上げることが可能で、たとえば「低」から「中」、または「中」から「ローカルシステム」レベルへと昇格することができます。Configuration Managerに存在する特権昇格関連の脆弱性では、攻撃者が構成マネージャーの管理者権限を取得する可能性があります。Administration Protectionにおける脆弱性は、これらの保護機能を回避し、管理者権限でコードを実行できる可能性があります。OneDrive for Androidに見られる脆弱性も注目され、攻撃者が「システムリソースへの不正アクセス」を得ることができるというものです。このアクセスがさらなる侵害の足掛かりとなる可能性があります。
最後に、SQL ServerのパッチはSQLインジェクションの脆弱性を修正するもので、攻撃者はクエリを実行しているプロセスの権限を取得します。したがって、クエリが高い権限で実行されている場合、攻撃者も同等の権限を得ることになります。
セキュリティ機能バイパス関連
11月にはセキュリティ機能のバイパスに関する修正が2件あり、どちらもCoPilotが関連しています。1件目はVisual Studio CodeのCoPilot Chat拡張機能に存在する単純なパストラバーサルの問題で、攻撃者はこれを利用してファイル保護を回避できる可能性があります。もう1件は、Visual Studio上のCoPilotが生成AIの出力を適切に検証しないことに起因する脆弱性で、これもファイル保護を回避する手段として悪用される可能性があります。
情報漏洩関連
今月修正された情報漏洩の脆弱性は少数で、多くは特定されていないメモリ内容やメモリアドレスが漏洩する程度にとどまります。Dynamics 365(オンプレミス)に存在する脆弱性は、「機密情報」が漏洩する可能性があるとされています。さらに指摘すべき点として、License Managerに関する脆弱性は先月「サイレント修正」されており、今回ようやく文書化されました。このような対応は非常に望ましくなく、行うべきではありません。
サービス拒否(DoS攻撃)関連
11月のリリースには、サービス拒否(DoS攻撃)に関する3件の修正が含まれていますが、その説明はやや抽象的です。いずれのケースも、攻撃者がネットワーク経由またはローカル環境で該当コンポーネントに対してサービス拒否を引き起こせるとされています。中でも2件は、権限の低いHyper-VゲストがHyper-V環境全体にDoSを発生させる可能性があるとされています。どのような経路で発生するのかは明確ではありませんが、Hyper-Vを運用している場合はこれらの修正を軽視しない方がよいでしょう。
なりすまし関連
最後に、Dynamics 365 Field Service(オンライン)には2件のなりすまし関連の脆弱性があり、クロスサイトスクリプティング(XSS)として現れます。単純なパッチでは修正されず、Power Platform管理センターにアクセスしてアップデートを適用する必要があります。
今月は新しいアドバイザリの公開はありませんが、最新のサービススタック更新プログラム ADV990001 に関する更新が行われています。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年12月9日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年11月発表の全リスト
2025年11月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The November 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)