2025年12月 セキュリティアップデート解説:Microsoft社は70件、Adobe社は139件の脆弱性に対応
2025年最後の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年最後の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年12月Adobe社からのセキュリティアップデート
2025年12月は、Adobe Reader、ColdFusion、Experience Manager、Creative Cloud Desktop、Adobe DNG Software Development Kit(SDK)に関する5件のセキュリティ情報が公開され、合計139件の脆弱性が修正されています。数が多く見えますが、ほとんどはAdobe Experience Managerにおける比較的単純なクロスサイトスクリプティングの脆弱性です。中には重大度が「緊急」に分類されるDOMベースのクロスサイトスクリプティングも含まれるため、今回の更新を軽視できませんが、件数そのものを過剰に心配する必要はありません。ColdFusion向けの更新についても同様で、Adobeはこの修正の適用優先度を「1」と設定していますが、現時点で悪用が確認されている脆弱性は存在しません。ただし任意のコード実行につながる問題が複数含まれるため、確実に適用することが重要です。ColdFusionを運用している場合は、ロックダウンガイドの確認も推奨されています。ColdFusion 2025向けのガイドはこちらから参照できます。
Adobe Reader向けの更新は予想より規模が小さく、修正された4件の脆弱性のうち、コード実行につながるものは2件にとどまっています。特に不満というわけではありませんが、より多い数を想定していました。Adobe DNG SDKの更新では4件の脆弱性が修正され、そのうち1件がコード実行の可能性を持つ問題です。Creative Cloud Desktopの更新は深刻度「重要」の単一の脆弱性修正となっています。
今月Adobeが修正した脆弱性は、いずれも公開済みや攻撃中として扱われているものは含まれていません。ColdFusion以外の更新はすべて適用優先度3に分類されています。
2025年12月Microsoft社からのセキュリティアップデート
Microsoftは今年を締めくくる更新として、Windowsおよび各種コンポーネント、Office関連コンポーネント、Microsoft Edge(Chromiumベース)、Exchange Server、Azure、Copilot、PowerShell、Windows Defenderなどに関する56件の新たな脆弱性を公開しました。このうち1件はZDIプログラム経由で報告されたものです。今回の修正では深刻度が「緊急」に分類されるものが3件、それ以外は「重要」とされています。リリースに含まれるChromium系のサードパーティ更新も含めれば、総数は70件に達します。
今回の更新を含めることで、Microsoftが2025年に修正した脆弱性は合計1,139件となります。なお、今月初めに公開されたAzure LinuxやCBL Mariner向けの多数の更新はLinux向けの脆弱性として扱われるべきものであるため、この数字には含まれていません。2025年は2020年に次ぐ2番目に多い年間件数となり、その差はわずか111件です。Microsoftの製品領域が広がり、AI関連の脆弱性が増えている状況を考えると、2026年はさらに増加する可能性があります。
Microsoftは今回、1件を攻撃中の脆弱性として扱い、さらに2件を公開済みの脆弱性として記載しています。ここからは、まず攻撃が確認されている脆弱性を含め、注目すべき更新内容を確認します。
CVE-2025-62221 - Windows Cloud Files Mini Filter Driver特権昇格の脆弱性
今月、攻撃が確認されている唯一の脆弱性で、表面的には10月に修正された脆弱性と似た印象があります。ただし10月の問題はレースコンディションで、今回のものはUse After Free(UAF)に分類されます。影響を受けるシステムで権限昇格を許してしまうため、攻撃者が別のコード実行の脆弱性と組み合わせてシステムを掌握する可能性があります。サポート対象のすべてのWindowsバージョンに影響することから、優先順位をつける必要がある場合は最上位に位置づけるべき脆弱性です。
CVE-2025-62554/62557 - Microsoft Officeリモートコード実行の脆弱性
今回もPreview Pane(プレビューウィンドウ)が攻撃経路となるOfficeの脆弱性が2件続いています。気にする方のために補足すると、Critical判定でPreview Paneが悪用されるOfficeの脆弱性が続くのはこれで11か月連続です。Mac版のOffice LTSC 2021および2024には現時点で更新が提供されておらず、Macユーザは対処が難しい状況にあります。悪用が始まる前にMicrosoftが更新を提供してくれることを期待したいところです。
CVE-2025-62562 - Microsoft Outlookリモートコード実行の脆弱性
一見すると今回もPreview Paneの問題かと思わせますが、内容は異なります。「緊急」の判定となるのはSharePoint Enterprise Server 2016のみで、それ以外の環境では「重要」に分類されています。ただしCVSSスコアは影響を受ける全プラットフォームで共通して7.8となっています。攻撃者は細工したメールにユーザが返信するよう誘導する必要があります。SharePoint 2016で重大度が高く評価されている理由は明確ではありませんが、このバージョンを運用している組織では更新を見送らないようにする必要があります。
CVE-2025-64671 - GitHub Copilot for JetBrainsリモートコード実行の脆弱性
公開済みとして扱われている脆弱性で、Copilotにおけるコマンドインジェクションが原因です。認証されていない攻撃者が、影響を受けるシステム上で任意のコードを実行できる可能性があります。ローカルとして分類されていますが、リモートの攻撃者がソーシャルエンジニアリングを通じてコマンドインジェクションを誘発させることは十分に想定されます。不正なファイルやModel Context Protocol(MCP)サーバ内で悪意を持って細工されたクロスプロンプトインジェクションを利用されると、攻撃者が追加のコマンドを端末の自動承認設定に紛れ込ませ、本人の確認なしに実行される可能性があります。2026年はこうした種類の脆弱性がさらに増えることが予測されます。
その他の脆弱性
リモートコード実行関連
深刻度が「緊急」に分類される脆弱性についてはすでに確認していますので、ここでは12月のリリースで修正されたその他のコード実行系の脆弱性を見ていきます。予想通り、Preview Paneが攻撃経路にならないOffice関連の「開くだけで攻撃が成立する」タイプの脆弱性が多く含まれています。そして恒例となりつつあるRRaSサービスの脆弱性も含まれています。Windows Resilient File System(ReFS)にはヒープオーバーフローに起因する脆弱性があり、ネットワーク経由で到達可能ですが認証が必要です。Azure Monitorの脆弱性もこれとよく似た内容です。Microsoftによると「Azure Monitorを実行するAzure Linux仮想マシンにローカルネットワークアクセスを持つ攻撃者が、ヒープオーバーフローを悪用して権限をsyslogユーザまで昇格させ、任意のコマンド実行を可能にする」状況がありました。
PowerShellの脆弱性は、今月もう1件の公開済み脆弱性であり、修正にはパッチ適用だけで終わりません。脆弱性自体は単純なコマンドインジェクションですが、更新後にInvoke-WebRequestコマンドを使用するとセキュリティ警告が表示されるようになります。加えて、パッチ適用後には再起動が必要となる可能性が高いため、完全に対処するためには再起動まで確実に実施してください。
特権昇格関連
続いて、今月修正された特権昇格の脆弱性を確認します。多くの場合、認証されたユーザが細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限に到達する結果になります。Windows Shellの脆弱性は、コード実行のIntegrityレベルをLowからMediumへ引き上げ、AppContainerの隔離を抜け出す可能性につながります。RRASの脆弱性は、ドメインに参加した認証済みユーザが必要ですが、悪用されると対象システムでコードが実行される状況になります。Brokering File Systemには、特権昇格と記載されているものの内容はDenial of Service(DoS)に近い脆弱性もあります。標準ユーザがUAFによりシステムをクラッシュさせる可能性があり、実質的にローカルDoSと変わりません。
最後に、国家安全保障局(NSA)が報告したExchange Serverの脆弱性があります。Microsoftは悪用の可能性を低く見積もっていますが、NSAが指摘している点は無視できません。脆弱性を悪用するには相応の準備が必要との説明がされていますが、それでもNSAが関与している事実は重要です。また、Exchange Server 2016と2019はすでにサポート対象外であるため更新は提供されていません。引き続き使用する場合はExtended Security Update(ESU)プログラムへの移行が必要です。
なりすまし関連
Exchange関連では、利用者に表示される「From」欄のメールアドレスを偽装できるなりすましの脆弱性も存在します。こちらはNSAが報告したものではありませんが、UIの誤認誘発により重要情報の偽装に悪用される可能性があります。Microsoftが修正を決断したことは評価できます。今月修正されたもう1件のなりすまし関連の問題はSharePointに存在し、クロスサイトスクリプティング(XSS)として現れます。
情報漏洩関連
今月修正された情報漏洩関連の脆弱性は4件のみで、影響はいずれも未特定のメモリ内容やメモリアドレスが漏れるといった範囲に留まっています。Windows Defenderの脆弱性は、攻撃者が特定のユーザグループに所属している必要があります。
サービス拒否(DoS攻撃)関連
12月のリリースには、3件のDoS関連の脆弱性修正も含まれています。説明の内容は11月に見られたものと似ています。いずれもネットワークまたはローカル経由で対象コンポーネントを停止させる可能性がありますが、DirectX Graphics Kernelの脆弱性2件については、低権限のHyper-VゲストがHyper-V環境に対するDoSを引き起こす可能性があると記載されています。具体的な発生条件は明確ではありませんが、Hyper-Vを運用している環境では対応を見送らないようにするべきです。
今月は新しいアドバイザリの公開はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2026年1月13日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。どうぞ良い年末年始をお過ごしください。
Microsoft社2025年12月発表の全リスト
2025年12月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The December 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)